17.06.2025 г. ФСТЭК России зафиксирована критическая уязвимость в платформе 1С:Предприятие 8 под номером BDU-2025-07182. Этот дефект позволяет злоумышленникам, действующим удаленно, получить несанкционированный доступ к системе от имени произвольного пользователя, что создает серьезные риски для компаний, использующих решения 1С в своих бизнес-процессах. Что делать малому и среднему бизнесу, как защититься от потерь из-за этой критической уязвимости? Расскажу максимально подробно.
Техническая характеристика уязвимости
Уязвимость относится к классу CWE-285 («Неправильная авторизация») и затрагивает ядро системы авторизации платформы 1С:Предприятие 8.
Механизм эксплуатации: злоумышленник может удаленно войти в систему под любой учетной записью без знания паролей.
Для специалистов по ИБ:
❗ Базовый вектор уязвимости:
CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:C
CVSS 3.0: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVSS 4.0: AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Уровень опасности уязвимости:
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,8)
Высокий уровень опасности (оценка CVSS 4.0 составляет 7,7).
Уязвимость «неправильная авторизация» в 1С:Предприятие BDU:2025-07182 имеет высокий уровень опасности, в некоторых случаях такая уязвимость может считаться критичной (требующей немедленного устранения)!
Критичность ситуации усугубляется тем, что для успешной атаки не требуется взаимодействие с пользователем, атака проводится по сети, для реализации уже существует эксплойт.
Спойлер: компания «1С» уже исправила уязвимость, выпустив новые версии платформы. Новые версии платформы, помимо нововведений, содержат исправление ошибок, включая реализацию мер по повышению информационной безопасности. «1С» самостоятельно исследует платформу и оперативно выпускает релизы с исправлениями. Для исправления ошибки прав доступа (которая названа как уязвимость BDU:2025-07182) вендор своевременно выпустил новые версии платформы еще до выявления и подтверждения уязвимости со стороны ФСТЭК РФ.
Грозит ли вам Уязвимость «неправильная авторизация» в 1С:Предприятие 8 (BDU:2025-07182)? Проверьте себя
Уязвимы версии платформы (именно платформы 1С:Предприятие 8 для любой конфигурации):
– 8.3.23
– 8.3.24 до 8.3.24.1624
– 8.3.25 до 8.3.25.1374.
Как узнать версию платформы 1С:Предприятие 8
Запустив конфигурацию 1С, узнать версию платформы 1С:Предприятие 8 можно в меню программы:
Нажать кнопку Сервис и настройки в правом верхнем углу окна приложения:
Выбрать в выведенном меню пункт О программе
Версия платформы будет показана в верхней строке выведенного окна О программе:
В открывшемся окне версия платформы будет указана в верхней строке.
Нумерация конфигураций и технологической платформы 1С:Предприятие 8 состоит из четырех чисел, например, версия платформы 8.3.15.1830 (уязвимая). Здесь первая цифра - номер версии, вторая - номер редакции, третья - номер релиза, четвертая - номер подрелиза.
Первые два числа – это версия. Вторые два числа – это релиз.
Теперь вы можете самостоятельно определить и корректно назвать параметры своего программного продукта 1С:
версия и релиз платформы, например 1С:Предприятие 8.3.15.1830,
версия и релиз конфигурации, например Бухгалтерия предприятия 3.0.76.67.
А также вы можете проверить, грозит ли вам Уязвимость «неправильная авторизация» в 1С:Предприятие 8 (BDU:2025-07182). Проверьте себя: если ваша версия платформы
8.3.23
8.3.24 до 8.3.24.1624
8.3.25 до 8.3.25.1374,
значит, вы в зоне риска: необходимо срочное обновление и ряд мер, о которых расскажу далее.
На самом деле, они нужны всем, даже если сейчас эта конкретная уязвимость вам не грозит! К сожалению, не все компании, пользующиеся 1С, уделяют внимание обновлениям, обслуживанию, поддержке системы, а также вопросам информационной безопасности в своей повседневной работе.
Регулярные обновления и экспертная поддержка вашей 1С - это именно то, что служит преградой на пути злоумышленников. Чтобы они не могли воспользоваться следующими пятью самыми распространенными способами монетизации уязвимости.
Пять основных способов монетизации уязвимости
1. Ransomware-атаки (вредоносное вымогательское ПО, вирус-шифровальщик)
После получения административных прав злоумышленники экспортируют информационную базу, шифруют рабочую копию и требуют выкуп размером кратно или даже в несколько BTC за ключ дешифрования. По данным специалистов, средняя сумма выкупа для малого и среднего бизнеса может составлять от 5-10 миллионов рублей и выше.
Статистика показывает критичность проблемы: количество ransomware-атак выросло на 105% за последний год, при этом 60% небольших компаний, пострадавших от хакерских атак, закрываются в течение шести месяцев после инцидента. Основные причины — утечки данных, финансовые потери и репутационный ущерб.
2. Продажа конфиденциальных данных
Полный доступ к информационной базе позволяет выкачивать нормативно-справочную информацию, прайс-листы, базы клиентов, данные о зарплатах, кадровые/персональные данные сотрудников, производственную документацию и т.п. Украденная информация продается конкурентам или в даркнете, а также может использоваться с целью шантажа руководителей компании.
Особую ценность представляют:
Клиентские базы с контактными данными и историей покупок
Коммерческие данные — прайс-листы, условия поставщиков, размеры скидок, данные по клиентам включая контакты ключевых лиц, данные по поставщикам включая сведение о закупках
Кадровая информация, персональные данные — данные о зарплатах, премиях, личные данные сотрудников, ФИО и данные банковских карт
Сведения о производственных процессах — сведения о регламентах производства, видах и средствах АСУ ТП, закупленного оборудования, ноу-хау производства, иные конфиденциальные сведения о производстве
3. Фишинг от лица компании
Злоумышленники используют цепочку email в 1С для рассылки поддельных счетов партнерам или иных писем, компрометирующих компанию. Эта схема особенно эффективна, поскольку письма приходят с реальных корпоративных адресов, что повышает доверие получателей.
Схема работает следующим образом:
Отправка счетов с измененными банковскими реквизитами существующим контрагентам.
Использование реальной переписки и документооборота для создания достоверности.
Получение денежных переводов сторонней организации от ничего не подозревающих партнеров.
Также возможна схема с отправкой писем, компрометирующих организацию. Например, это может быть осуществлено с целью нанесения максимального вреда корпоративным связям компании. Злоумышленники с легкостью могут подорвать доверие, выстраиваемое годами, а контрагенты могут приостановить контакты или даже прекратить сотрудничество.
Статистика показывает высокую эффективность подобных атак: 79% успешных атак социальной инженерии осуществляется через электронную почту, при этом каждый четвертый сотрудник открывает фишинговое письмо.
4. Подмена банковских операций через файлы обмена
Один из наиболее опасных векторов — перехват и модификация файла выгрузки в клиент-банк, например файла «1c_to_kl.txt», который 1С генерирует при выгрузке платежных поручений в банковское приложение по отправке платежей или в части зарплатного проекта. Троянские программы типа Mezzo и TwoBee отслеживают создание подобного файла и подменяют реквизиты получателей.
Технический механизм атаки:
Вредоносная программа создает перехват системных вызовов при записи файла.
Через механизмы 1С:ДиректБанк или модули обмена с ДБО формируются новые платежные поручения на подставные счета (или изменяются суммы перечислений на банковские карты).
Платеж подтверждается в системе банка, деньги уходят злоумышленникам.
5. Кража данных для последующих атак социальной инженерии
Наиболее изощренная схема включает теневое копирование персональных данных и информации о банковских картах для последующих фишинговых атак. Злоумышленники собирают:
Персональные данные клиентов для проведения звонков от имени банка или государственных структур.
Данные банковских карт для мошеннических операций.
Информацию о сотрудниках для целевых атак социальной инженерии.
Современные мошенники используют украденные данные для многоступенчатых атак: сначала звонят жертве, демонстрируя знание личной информации для создания доверия, затем под различными предлогами выманивают коды доступа к банковским счетам.
Повышенные риски для малого и среднего бизнеса
Упрощенные системы защиты
Малые компании часто ограничиваются базовыми средствами защиты — антивирусом и устаревшим («не обновляемым») межсетевым экраном. Отсутствие полноценной системы защиты информации делает такие атаки практически незаметными до момента серьезного инцидента.
Одни из основных причин взлома, может самые важные, – это экономия средств на системы информационной безопасности, а также самонадеянность руководства организации.
Самонадеянность проявляется как в ложном понимании, что "нас-то не взломают", "мы никому не интересны" и т.п., так и в слепой вере в какое-либо чудо, например, в защиту отдельных средств защиты от всех возможных негативных событий. Как в медицине не бывает панацеи, так в инфобезопасности нельзя защититься одним-двумя средствами защиты от всех негативных событий. Антивирус, конечно, всем нужен, однако от шифровальщиков он не спасет: сотрудник организации сам даст разрешение на запуск шифровальщика или отметит это как доверительное действие.
Отсутствие систем мониторинга событий
В малом и среднем бизнесе повсеместно отсутствуют какие-либо подсистемы мониторинга событий, например:
подсистема сбора и реагирования на уязвимости (VM);
подсистема мониторинга, анализа и предотвращения происшествий/инцидентов ИБ (вида SIEM, IRP, SOAR);
подсистема анализа сетевого трафика (NTA).
Зачастую в организации даже сбор логов событий не ведется!
Это приводит к тому, что злоумышленник, даже если он пробрался в ИТ-инфраструктуру, останется не замеченным. По статистике, от момента взлома до момента осуществления негативных событий проходит в среднем от 6 месяцев до года, и все это время злоумышленник может готовиться к реализации пагубного сценария с максимальным эффектом, а сама организация часто не обладает силами и средствами обнаружения действий злоумышленника.
Ограниченные возможности форензики
После успешной атаки злоумышленники уничтожают или изменяют логи, резервные копии и другие артефакты, по которым можно восстановить ход атаки. Малый бизнес не располагает ресурсами не только для мониторинга событий, но и для полноценного расследования инцидентов и восстановления цепочки компрометации.
Критичность финансовых потерь
Простои организации (простои в управлении, в производстве и прочие), а также прямые финансовые потери, которые для крупной компании могут стать «временными неудобствами» (негативными факторами, но которые можно заранее нивелировать компенсирующими мерами), для малого бизнеса способны оказаться фатальными.
Средний ущерб от кибератак составляет до 25% от годового оборота компании.
Комплексные первоочередные меры защиты
Немедленные действия
Критически важное обновление платформы до безопасных версий:
- 8.3.23, 8.3.24 → ≥ 8.3.24.1667 или выше
- 8.3.z → ≥ 8.3.24.1674 (z) или выше
- 8.3.25 → ≥ 8.3.25.1394 или выше.
2. Временная изоляция уязвимых систем до обновления — ограничение внешнего доступа, настройка белых списков IP-адресов и т.п.
Долгосрочная стратегия безопасности
Проанализируйте логи входа на предмет наличия аномалий (при техничесокй возможности).
Проверьте настройки и работоспособность средств защиты, имеющихся в наличии (антивирусов, межсетевых экранов, средств обнаружения вторжений и т.п.)
Внедрите двухфакторную аутентификацию для пользователей
Обновите и проверьте резервные копии (важно проверить копий методом тестового восстановления данных).
Настройте регулярный мониторинг уязвимостей и своевременное обновление программ, в том числе платформы 1С.
Для защиты взаимодействия с банком используйте 1С:ДиректБанк — наиболее эффективное решение для защиты банковских операций. Сервис использует технологию прямого обмена с банками DirectBank, исключающую промежуточные файлы, которые могут быть скомпрометированы.
Используйте организационные и компенсирующие меры защиты, например, отказ от использования стандартных имен файлов — вместо 1c_to_kl.txt возможно использовать произвольные имена, согласованные с банком (значительно усложняет работу вредоносных программ). Ограничьте права доступа так, чтобы сотрудники имели определенный набор необходимых прав исключая работу под учетной записью администратора.
Внедрите проверку файлов при выгрузке и передачи, например, организуйте проверку целостности файлов — в 1С:Бухгалтерии 8 редакции 3.0 реализована проверка файлов на модификацию после загрузки.
Внедрите подсистему контроля доступа (для ограничения прав пользователей и мониторинга их действий).
Регулярно проводите обучение персонала — большинство атак начинается с компрометации учетных данных сотрудников через фишинг и социальную инженерию.
Список первоочередных мер можно продолжать, однако даже в малом и среднем бизнесе стоит обратить внимание на построение общей стратегии информационной безопасности, начиная, с анализа бизнес-процессов, построения реестра недопустимых событий, описания своей ИТ-инфраструктуры (большинство организаций не имеет полного понимания всех ИТ-активов, а взлом может произойти из забытого или неучтенного ноутбука), формированию модели угроз и до построения полноценной системы защиты организации, которая будет «по карману» самой организации, не разорит ее, а обеспечит необходимый и достаточный уровень информационной безопасности! Построить достаточную систему защиты может позволить средний и даже малый бизнес, если подходить к этой задаче ответственно и профессионально с четким пониманием ограниченности бюджета.
Вместо итога….
Уязвимость BDU-2025-07182 представляет критическую угрозу для компаний любого размера, использующих в своей инфраструктуре решения на платформе 1С:Предприятие 8. Особую опасность данная уязвимость представляет именно для малого и среднего бизнеса в связи с ограниченностью ресурсов и из-за отсутствия полноценной системы защиты. В малом бизнесе часто даже отсутствует (или своевременно не проверяется) подсистема или какая-либо политика гарантированного восстановления данных!
Пять основных векторов монетизации от ransomware-атак до сложных схем социальной инженерии, — демонстрируют всю серьезность ситуации. Только комплексный подход, начинающийся с немедленного обновления платформы, перехода на защищенные технологии обмена с банками, постоянного обучения персонала, реализации иных первоочередных мер позволит минимизировать риски и защитить критически важные бизнес-процессы.
Помните: своевременное выполнение обновлений 1С (как часть единой системы обновлений — на профессиональном языке «патч-менеджмент»), а также гарантированное резервное копирование информационных баз 1С (как часть единой системы резервного копирования / гарантированного восстановления) — это не просто рекомендации, а жизненная необходимость для сохранения бизнеса в условиях возрастающих киберугроз. Это базовые (минимальные) меры, которые должна обеспечить организация любого масштаба, начиная с самозанятого или индивидуального предпринимателя.
Конечно, никакие средства защиты не могут на 100% гарантировать отсутствие взлома, как например, нельзя на 100% гарантировать полноценное здоровье человека (панацеи попросту не существует). Однако, каждая успешно внедренная подсистема информационной безопасности даже в малой части, даже если меры организационные (компенсирующие) или, например связаны с обучением сотрудников, существенно повышает безопасность и надежность инфраструктуры, главным образом затрудняя технологию самого взлома, а также обеспечивая меры предупреждения и обнаружения действий нарушителя.
Организации в рамках собственной стратегии информационной безопасности необходимо подобрать тот комплект технических и организационных мер, которые с одной стороны гарантированно защитят ее от реализации недопустимых событий, а с другой – обеспечат такую ситуацию, когда цена взлома станет существенно дороже выгоды от самого взлома.
