Как менеджер без полных прав смог установить расширение в базе ЕРП

08.09.25

Администрирование - Информационная безопасность

Это небольшая история как за час шелковистые волосы могут превратиться волосы из мема про Гарольда. Выясним как менеджер с небольшим набором прав смог установить расширение в базе ЕРП 2.5. Обсудим сейчас так носят или нет.

Эмоции немного стихли - поэтому поехали:

Перед обновлением я пошел в список расширений и увидел там расширение mag1cДляУТКАУП. Оповещений от пользователей с полными / админскими правами не было - поэтому пошел в журнал регистрации. Выяснилось, что расширение установлено от пользователя, который должен работать только с заказами клиента. В базе смотрим, что у него нет полных прав / админских прав / прав на запуск внешних обработок, нет временного подкидывания полных прав / изменения профиля и т.д.
Вот тут полный ступор - а как тогда смог?
Поиск по конфигурации показал, что в списке заказов можно нажать кнопку с манящим логотипом волшебной палочки (менеджеры любят магию) и дальше программа все сделает сама.

// Скачивает и устанавливает расширение для работы с сервисом mag1c
Функция УстановитьРасширение(ПараметрыБазы) Экспорт

А именно:
- выставит привилегированный режим
- сходит на сайт https://service.mag1c.ru
- скачает расширение и установит его

Теперь риторический вопрос: что делать...
- заглушил эту установку расширения, если нет полных прав
- написал код оповещения команды через Sentry о новых расширениях

Код оповещения о новых расширениях в ЖР - Sentry вычитывает ЖР и делает рассылку


Процедура ЗафиксироватьОшибкиКонфигурации__Расширения__РасширенияБезСогласования(НаДату)
	
	ЗаголовокОшибки = СтрШаблон("Проверка установленных расширений в обход правил администратора на %1%2"
		, Строка(НаДату)
		, Символы.ПС
	);
	
	текстОшибки = "";
	
	мСогласованныеРасширения = Новый Массив;
	мСогласованныеРасширения.Добавить("ХХХХХ");
	
	мРасширения = РасширенияКонфигурации.Получить();
	Для каждого элРасширение Из мРасширения Цикл
		
		Расширение__Имя = ВРег(элРасширение.Имя);
		Если 
			мСогласованныеРасширения.Найти(Расширение__Имя) <> Неопределено
			ИЛИ (
				СтрНачинаетсяС(Расширение__Имя, "ХХХХХ") 
				И ДатаБезИсключенияПоСтрокеГГГГММДД( Сред(Расширение__Имя, 5, 8) ) <> Неопределено
			)
		Тогда
			Продолжить;
		КонецЕсли;
		
		текстОшибки = текстОшибки + СтрШаблон(" - %1 / %2" + Символы.ПС
			, элРасширение.Имя
			, элРасширение.Синоним
		);
		
	КонецЦикла;
	
	Если ПустаяСтрока(текстОшибки) Тогда 
		Возврат;
	КонецЕсли;
	
	ЗаписьЖурналаРегистрации(
		ИмяСобытияЖР()
		, УровеньЖурналаРегистрации.Ошибка
		, 
		, 
		, СтрШаблон("%1%2"
			, ЗаголовокОшибки
			, текстОшибки
		)
	);
		
КонецПроцедуры

- нужно пройтись по конфигурации и поискать такие места

Вопрос не в конкретном расширении, а в подходе "тихой" установки расширений без участия администратора.
Остался вопрос к коллегам по профессии - если в коде есть такие "тихие" установки расширений в коде - кто и как такое отслеживает. Полное ревью конфигурации не предлагать ))

ЕРП 2.5.21.116

Вступайте в нашу телеграмм-группу Инфостарт

Расширения безопасность ревью Sentry журнал регистрации проверка расширений

+2 –

См. также

Интеграция Vault и 1С

Информационная безопасность Пароли 1С v8.3 Бесплатно (free)

Все еще храните пароли в базе? Тогда мы идем к вам! Безопасное и надежное хранение секретов. JWT авторизация. Удобный интерфейс. Демо конфигурация. Бесплатно.

30.05.2024 10728 kamisov 19

Настройка аутентификации в 1С с использованием стандарта RFC 7519 (JWT)

Информационная безопасность Программист 1С v8.3 Бесплатно (free)

Рассмотрим в статье более подробную и последовательную настройку аутентификации в 1С с использованием распространенной технологии JWT, которая пришла в программу в платформе версии 8.3.21.1302.

27.02.2024 16238 PROSTO-1C 10

Device flow аутентификация, или туда и обратно

Информационная безопасность Программист 1С v8.3 Абонемент ($m)

Интеграционные решения стали неотъемлемой частью нашей жизни. Правилом хорошего тона в современных приложениях является не давать интегратору доступ к чувствительным данным. Device flow позволяет аутентифицировать пользователя, не показывая приложению чувствительные данные (например: логин и пароль)<br> Рассмотрим Device flow аутентификацию, в приложении, на примере OpenID провайдера Yandex.

1 стартмани

27.10.2023 3594 platonov.e 1

Установка 1С:Сервера взаимодействия. Заметки на полях

Информационная безопасность Системный администратор Программист 1С v8.3 1C:Бухгалтерия Бесплатно (free)

Нюансы установки 1С:Сервера взаимодействия в рабочем контуре

11.10.2023 7133 capitan 9

Быстрая и комплексная оценка защищенности базы и сервера

Информационная безопасность Системный администратор 1С v8.3 1C:Бухгалтерия Россия Абонемент ($m)

Продукты на основе решений 1С уверенной поступью захватывают рынок учётных систем в стране. Широкое распространение программ всегда порождает большой интерес к ним со стороны злоумышленников, а пользователь 1С это одна из дверей в защищённый информационный контур предприятия. Обработка позволяет быстро и комплексно оценить настройки безопасности конкретной базы и возможности пользователя этой базы на сервере. Также можно оценить некоторые аспекты сетевой безопасности предприятия со стороны сервера 1С.

5 стартмани

24.04.2023 7578 25 soulner 8

Двухфакторная аутентификация в 1С через Telegram и Email

Информационная безопасность Системный администратор Программист 1С v8.3 1С:ERP Управление предприятием 2 Абонемент ($m)

1С, начиная с версии платформы 8.3.21, добавили в систему возможность двойной аутентификации. Как это работает: в пользователе информационной базы появилось свойство «Аутентификация токеном доступа» (АутентификацияТокеномДоступа во встроенном языке), если установить этот признак и осуществить ряд манипуляций на встроенном языке, то появляется возможность при аутентификации отправлять HTTP запросы, которые и реализуют этот самый второй фактор. Данное расширение позволяет организовать двухфакторную аутентификацию с помощью электронной почты или мессенджера Telegram.

2 стартмани

08.12.2022 9280 70 Silenser 12

Временная блокировка работы пользователя (Alt+L)

Информационная безопасность Пароли 1С v8.3 Управляемые формы 1C:Бухгалтерия Бесплатно (free)

Расширение для параноиков.

22.11.2022 5830 147 ixijixi 12

История одного взлома или проверьте вашу систему на безопасность

Информационная безопасность 1С v8.3 1C:Бухгалтерия Бесплатно (free)

От клиента клиенту, от одной системы к другой, мы вновь и вновь встречаем одни и те же проблемы и дыры в безопасности. На конференции Infostart Event 2021 Post-Apocalypse Виталий Онянов рассказал о базовых принципах безопасности информационных систем и представил чек-лист, с помощью которого вы сможете проверить свою систему на уязвимость.

26.10.2022 13351 Tavalik 46

118

Комментарии

Подписаться на ответы Инфостарт бот

Свернуть все

1. AlxPop 28 08.09.25 10:04 Сейчас в теме

"что в списке заказов можно нажать кнопку с манящим логотипом волшебной палочки" - для тех кто в танке - это про что?

2. mrcamomile 87 08.09.25 17:30 Сейчас в теме

(1) Вот эта кнопка в списке заказов и в заказе устанавливает расширение. Только у меня она в меню "Отправить" уходит - у менеджера просто в командной панели полностью висит

Прикрепленные файлы:

3. lestate 15.09.25 12:55 Сейчас в теме

В рознице я столкнулся с этим, там продавец так же поставил mag1c. Решил аналогичным способом.

Для отправки сообщения требуется регистрация/авторизация

Автор:

(mrcamomile)

Рейтинг: 87

Для получения уведомлений о новых публикациях автора подключите телеграм бот: Инфостарт бот

Публикация:

№ 2475424

Создание 08.09.25 09:39

Обновление 08.09.25 09:39

Статистика:

Просмотры 886

Загрузки 0

Рейтинг 2

Комментарии 3

Характеристики:

Код открыт Да

Рубрики Информационная безопасность

Кому Для всех

Тип файла Нет файла

Платформа Не имеет значения

Конфигурация 1С:ERP Управление предприятием 2

Операционная система Не имеет значения

Страна Россия

Отрасль Не имеет значения

Налоги Не имеет значения

Вид учета Не имеет значения

Доступ к файлу Бесплатно (free)