В последние два года количество атак на российский бизнес растет в разы. Под пристальным вниманием злоумышленников находятся внешние веб-сервисы и популярные коммерческие продукты, обрабатывающие ценную информацию, например, продукты линейки 1С.
Почему 1С привлекает злоумышленников
1С используется везде: от маленьких фирм до крупнейших корпораций. Через неё проходят зарплаты, налоги, финансы и клиенты. Если система взломана, злоумышленник получает: доступ к персональным данным сотрудников, информацию о финансах, контроль над процессами.
Также через компрометацию информационных систем на базе приложений 1С возможны атаки на системное окружение и другие сетевые сервисы компании. Чем больше связей, тем больше пространства для атак.
Главные уязвимости 2024–2025 годов
Рассмотрим для начала ключевые технические уязвимости, обнаруженные в 2024–2025 годах, которые имеют наибольшую практическую значимость для инсталляций 1С.
Критическая проблема в самой платформе 1С (BDU:2025-07182)
В 2025 году специалисты нашли «уязвимость» в 1С:Предприятие. Из-за неё злоумышленник мог войти в систему без пароля, вне зависимости от его сложности, от имени любого сотрудника. Связано это с недостатками процедуры авторизации.
В итоге компания «1С» выпустила новые версии платформы с исправлениями ещё до подтверждения уязвимости со стороны ФСТЭК РФ.
Проблемы в сторонних модулях и базах данных
Сторонние модули, дополнения и даже база данных PostgreSQL тоже имеют уязвимости, это связано с разыменованием нулевого указателя из-за конкурентного доступа к ресурсу. То есть если несколько процессов обращаются к одним и тем же данным одновременно, программа может запутаться и попробовать использовать то, чего уже нет — из-за чего ломается. Во время такой поломки злоумышленники могут выполнить сторонний код.
Новые векторы атак на 1С
Злоумышленники используют уязвимости программ, комбинируя их с социальной инженерией и сторонними интеграциями. В последнее время участились следующие способы взлома.
Атаки через маркетплейс и цепочки поставщиков
Злоумышленники находят или создают уязвимости в популярных сторонних модулях, либо компрометируют аккаунты разработчиков — и через «легитимный» модуль получают доступ в систему заказчика.
Компании часто ставят плагины без проведения минимальных проверок кода и функционала на предмет безопасности . Такие модули имеют привилегированный доступ, запускаются в окружении сервера, и их эксплуатация выглядит как «законная» работа, поэтому такую уязвимость сложнее заметить.
Чтобы этого избежать, нужно обязать проверку подписи модулей, жёсткий процесс валидации сторонних решений и запрет установки неподписанных модулей без одобрения.
Злоупотребление легитимными механизмами обмена и планировщиками
Вместо громкой «пробивки» системы злоумышленник использует штатные обмены данных, сервисные задачи (cron/планировщик 1С), API выгрузки — и постепенно экспортируют большие объёмы данных, маскируя активность под обычную работу.
Официальным механизмам доверяют и они не всегда логируются детально; поэтому утечка может идти неделями. Это не «взлом», это — «злоупотребление правами».
Заранее можно настроить поведенческий мониторинг, лимиты на объёмы выгрузок и оповещения по нетипичной активности.
Атаки на интеграционные каналы
Вместо прямого взлома 1С атакуют внешние интеграции — платёжные шлюзы, FTP/HTTP-обмены, API бухгалтерских сервисов — и через скомпрометированный интегратор получают доступ к учётным данным или возможностям запуска операций.
При компрометации посредника интеграционные каналы становятся доступными для атаки, и система теряет защиту.
Нужно пересмотреть права интеграций, применить принцип наименьших привилегий для API, использовать выделенные сервисные учётки и аудит запросов.
Масштабирование атак с помощью автоматизации/ИИ
Злоумышленники стали применять ИИ для генерации качественного фишинга (персонализированные письма, фейковые звонки) и для автоматического сканирования доступных из сети Интернет приложений на поиск уязвимостей в необновленных версиях ПО.
ИИ повышает эффективность социальной инженерии и скорость обнаружения потенциально уязвимых целей. Получается комбинированная атака: автоматический сбор данных + целевой фишинг и вот вы уже имеете высокую вероятность проникновения.
Обучение сотрудников, фильтрация входящей почты, MFA (многофакторная аутентификация), голосовой верификатор критичных транзакций помогают избежать данных проблем.
Ошибки конфигурации при облачных и контейнерных развёртываниях 1С
При переносе 1С в облака или при использовании SaaS/контейнеров — ошибки конфигурации, неправильно выставленные S3-бакеты/образы контейнеров, открытые панели управления дают лёгкий доступ.
Миграция в облако ускорилась в 2024–2025, и одновременно выросло число ошибок конфигурации, которые приводят к утечкам резервных копий и к доступу к рабочим данным.
Изначально нужно стандартизировать образы, проверить политику хранения бэкапов, зашифровать данные в облаке и дать доступ по принципу наименьших привилегий.
Практические шаги для защиты
Ниже представили конкретные действия чтобы защитить систему.
Уже сегодня вам следует:
- Обновить платформу 1С и все модули до последних версий (при необходимости).
- Ограничить доступ к серверу 1С из интернета.
В ближайшую неделю:
- Проверить все дополнения и расширения: удалить неподписанные и устаревшие.
- Перепроверить права доступа: удалить лишние «админские» аккаунты, сменить пароли.
В течение квартала:
- Проверить резервные копии: убрать их из публичного доступа, включить шифрование.
- Настроить мониторинг: следить за массовыми выгрузками и аномальными действиями.
Также вы можете пройти нашу 5-минутную викторину, после чего получите персональные рекомендации по вопросам, вызвавшие затруднения.
Сами по себе данные шаги очевидны, но их выполнение требует времени, дисциплины и технической экспертизы. Если вы хотите убедиться в безопасности своих систем, напишите нам. GT Consulting берёт на себя все технические процессы и рутину, обеспечивая спокойствие и контроль за системой.
Никто не «взрывает» систему как в фильмах — злоумышленники тихо используют стандартные функции: экспорт, обмен данными, расширения. И если вы не следите за объёмами выгрузки или необычными действиями пользователей, можете месяцами не знать, что ваши данные уже «там».
Хорошая новость в том, что все найденные уязвимости закрываются обновлениями и организационными мерами (права доступа, бэкапы, контроль расширений). Также многое зависит от простой дисциплины: вовремя обновлять, контролировать и проверять.
Что делать руководителю уже сегодня? Поручите IT-специалистам: обновить систему, проверить расширения, закрыть бэкапы и настроить мониторинг. Запросите отчёт на 1 страницу, чтобы быть уверенным, что компания защищена.