T1036.001EnterpriseПодтехника
Недействительная подпись кода
Злоумышленники могут пытаться имитировать функции действительных подписей кода, чтобы увеличить шанс обмана пользователя, аналитика или инструмента. Подписание кода обеспечивает уровень подлинности исполняемого файла от разработчика и гарантию того, что исполняемый файл не был изменен. Злоумышленники могут скопировать метаданные и информацию о подписи из подписанной программы, а затем использовать её в качестве шаблона для неподписанной программы. Файлы с недействительными подписями кода не пройдут проверку цифровой подписи, но они могут казаться более легитимными для пользователей, и средства безопасности могут неправильно обрабатывать эти файлы. В отличие от подписания кода, эта деятельность не приведет к действительной подписи.
Тактики
Предотвращение обнаружения
Родительская техника
T1036
Маскировка
Платформы
macOSWindows
Меры защиты
Связанные CAPEC
Затронутые уязвимости (выводимые)
CVE-2026-21858Получение конфиденциальной информации в n8n
CVE-2026-0848NLTK versions <=3.9.2 are vulnerable to arbitrary code execution due to improper input validation in the StanfordSegmenter module. The module dynamically loads external Java .jar files without verification or sandboxing. An attacker can supply or replace the JAR file, enabling the execution of arbitrary Java bytecode at import time. This vulnerability can be exploited through methods such as model poisoning, MITM attacks, or dependency poisoning, leading to remote code execution. The issue arises from the direct execution of the JAR file via subprocess with unvalidated classpath input, allowing malicious classes to execute when loaded by the JVM.
CVE-2025-34300В Sawtooth Software’s Lighthouse Studio версий до 9.16.14 существует уязвимость, связанная с внедрением шаблона, через Perl веб-приложение ciwweb.pl. Эксплуатация позволяет неаутентифицированному злоумышленнику выполнить произвольные команды [1].
Источники:
- [1] https://sawtoothsoftware.com/resources/software-downloads/lighthouse-studio
- [2] https://slcyber.io/assetnote-security-research-center/rce-in-the-most-popular-survey-software-youve-never-heard-of/
CVE-2025-34105В встроенном веб-интерфейсе DiskBoss Enterprise версий 7.4.28, 7.5.12 и 8.2.14 существует уязвимость переполнения буфера на основе стека. Злоумышленник может воспользоваться этой уязвимостью, отправив специально сформированный длинный URI, что потенциально может привести к выполнению произвольного кода с привилегиями SYSTEM на уязвимых хостах Windows. Существуют эксплойты для этой уязвимости, доступные на сайтах Exploit-DB [1][2] и в модуле Metasploit [3].
Источники:
- [1] https://www.exploit-db.com/exploits/40869
- [2] https://www.exploit-db.com/exploits/42395
- [3] https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/windows/http/diskboss_get_bof.rb
- [4] https://www.vulncheck.com/advisories/diskboss-enterprise-buffer-overflow-rce
CVE-2025-34063A cryptographic authentication bypass vulnerability exists in OneLogin AD Connector prior to 6.1.5 due to the exposure of a tenant’s SSO JWT signing key via the /api/adc/v4/configuration endpoint. An attacker in possession of the signing key can craft valid JWT tokens impersonating arbitrary users within a OneLogin tenant. The tokens allow authentication to the OneLogin SSO portal and all downstream applications federated via SAML or OIDC. This allows full unauthorized access across the victim’s SaaS environment.
CVE-2025-34060A PHP objection injection vulnerability exists in the Monero Project’s Laravel-based forum software due to unsafe handling of untrusted input in the /get/image/ endpoint. The application passes a user-supplied link parameter directly to file_get_contents() without validation. MIME type checks using PHP’s finfo can be bypassed via crafted stream filter chains that prepend spoofed headers, allowing access to internal Laravel configuration files. An attacker can extract the APP_KEY from config/app.php, forge encrypted cookies, and trigger unsafe unserialize() calls, leading to reliable remote code execution.
CVE-2025-34043A remote command injection vulnerability exists in Vacron Network Video Recorder (NVR) devices v1.4 due to improper input sanitization in the board.cgi script. The vulnerability allows unauthenticated attackers to pass arbitrary commands to the underlying operating system via crafted HTTP requests. These commands are executed with the privileges of the web server process, enabling remote code execution and potential full device compromise. Exploitation evidence was observed by the Shadowserver Foundation on 2025-02-06 UTC.
CVE-2025-2857После недавнего выхода из песочницы Chrome (CVE-2025-2783) различные разработчики Firefox выявили аналогичный шаблон в нашем коде IPC. Скомпрометированный дочерний процесс может привести к тому, что родительский процесс вернёт случайно мощный дескриптор, что приведёт к выходу из песочницы.
Исходная уязвимость эксплуатировалась в дикой природе.
*Эта проблема затрагивает только Firefox на Windows. Другие операционные системы не затронуты.* Эта уязвимость затрагивает Firefox < 136.0.4, Firefox ESR < 128.8.1 и Firefox ESR < 115.21.1.
CVE-2025-23202Bible Module - это инструмент, предназначенный для разработчиков ROBLOX для интеграции функциональности Библии в их игры. Функции `FetchVerse` и `FetchPassage` в Bible Module подвержены инъекции из-за отсутствия проверки входных данных. Эта уязвимость может позволить злоумышленнику манипулировать URL запросов API, что потенциально приведет к несанкционированному доступу или изменениям данных. Эта проблема была решена в версии 0.0.3. Всем пользователям рекомендуется обновиться. Неизвестны обходные пути для этой уязвимости.
CVE-2025-20393Выполнение произвольного кода в Cisco Secure Email Gateway And Cisco Secure Email and Web Manager
CVE-2025-12285Missing Initial Password Change.This issue affects BLU-IC2: through 1.19.5; BLU-IC4: through 1.19.5.
CVE-2025-12275Mail Configuration File Manipulation + Command Execution.This issue affects BLU-IC2: through 1.19.5; BLU-IC4: through 1.19.5.
CVE-2025-12001В продуктах BLU‑IC2 и BLU‑IC4 (версии до 1.19.5) обнаружена уязвимость недостаточной санитизации манифеста приложения, что может приводить к сохранённому XSS: атакующий может внедрить вредоносный скрипт, который будет выполняться в пользовательском интерфейсе устройства. (см. источники).
Источники:
- [1] https://azure-access.com/security-advisories
CVE-2024-54085SPx компании AMI содержит уязвимость в BMC, которая позволяет злоумышленнику удаленно обойти аутентификацию через интерфейс Redfish Host. Успешная эксплуатация этой уязвимости может привести к утечке конфиденциальной информации, повреждению целостности и/или доступности.
CVE-2024-5171Переполнение целого числа в внутренней функции libaom img_alloc_helper может привести к переполнению буфера в куче. Эта функция может быть вызвана через 3 вызывающих:
* Вызов aom_img_alloc() с большим значением параметров d_w, d_h или align может привести к переполнению целого числа в расчетах размеров буферов и смещений, и некоторые поля возвращаемой структуры aom_image_t могут быть недействительными.
* Вызов aom_img_wrap() с большим значением параметров d_w, d_h или align может привести к переполнению целого числа в расчетах размеров буферов и смещений, и некоторые поля возвращаемой структуры aom_image_t могут быть недействительными.
* Вызов aom_img_alloc_with_border() с большим значением параметров d_w, d_h, align, size_align или border может привести к переполнению целого числа в расчетах размеров буферов и смещений, и некоторые поля возвращаемой структуры aom_image_t могут быть недействительными.
Совпадений нет — уточните фильтр.