V
Сканер-ВСкаталог уязвимостей · v4.2
ENRU
T1072Enterprise
Матрица: Enterprise
Статус: Активная
STIX: 19.0
Источник ↗

Инструменты развертывания программного обеспечения

Злоумышленники могут получить доступ к централизованным программным пакетам, установленным в предприятии, и использовать их для выполнения команд и горизонтального перемещения по сети. Приложения управления конфигурацией и развертывания программного обеспечения могут использоваться в корпоративной сети или облачной среде для рутинных административных целей. Эти системы также могут быть интегрированы в конвейеры CI/CD. Примеры таких решений включают: SCCM, HBSS, Altiris, AWS Systems Manager, Microsoft Intune, Azure Arc и GCP Deployment Manager. Доступ к общесетевому или корпоративному программному обеспечению управления конечными точками может позволить злоумышленнику достичь удаленного выполнения кода на всех подключенных системах. Доступ может быть использован для горизонтального перемещения к другим системам, сбора информации или создания определенного эффекта, такого как очистка жестких дисков на всех конечных точках. Службы управления конфигурацией на основе SaaS могут разрешать широкую Команду облачного администрирования на экземплярах, размещенных в облаке, а также выполнение произвольных команд на локальных конечных точках. Например, Microsoft Configuration Manager позволяет глобальным администраторам или администраторам Intune запускать скрипты от имени SYSTEM на локальных устройствах, присоединенных к Entra ID. Такие службы также могут использовать Веб-протоколы для связи с инфраструктурой, принадлежащей злоумышленникам. Устройства сетевой инфраструктуры также могут иметь инструменты управления конфигурацией, которые могут быть аналогичным образом использованы злоумышленниками. Разрешения, требуемые для этого действия, различаются в зависимости от конфигурации системы; локальных учетных данных может быть достаточно при прямом доступе к сторонней системе, или могут потребоваться конкретные доменные учетные данные. Однако система может требовать административную учетную запись для входа или для доступа к конкретной функциональности.

Тактики

ВыполнениеПеремещение внутри периметра

Платформы

LinuxmacOSNetwork DevicesSaaSWindows

Меры защиты

M1015
Настройка Active Directory
M1017
Обучение пользователей
M1018
Управление учётными записями пользователей
M1026
Управление привилегированными учётными записями
M1027
Парольные политики
M1029
Удалённое хранение данных
M1030
Сегментация сети
M1032
Многофакторная аутентификация
M1033
Ограничение установки программного обеспечения
M1051
Обновление программного обеспечения
Открыть в каталоге с фильтром ATT&CK →

Связанные CAPEC

CAPEC-187
Вредоносное автоматическое обновление программного обеспечения через перенаправление
CAPEC-657
Вредоносное автоматическое обновление ПО посредством подделки

Затронутые уязвимости (выводимые)

CVE-2025-56513NiceHash QuickMiner версии 6.12.0 осуществляет обновление программного обеспечения по протоколу HTTP без проверки цифровых подписей или хеш‑контролей. Это позволяет злоумышленнику, перехватывающему или перенаправляющему трафик к URL‑адресу обновления, внедрить произвольные исполняемые файлы, которые будут автоматически запущены, что приводит к полной удалённой компрометации системы. Подробности публикаций [1][2]. Источники: - [1] https://medium.com/@princep49036142/hijacking-the-miner-how-nicehashminers-auto-update-pipeline-enables-zero-click-rce-ed6a36b6769b - [2] https://medium.com/@princep49036142/hijacking-the-miner-zero-click-rce-in-nicehash-quickminer-cve-2025-56513-4a7190295e6c
CVE-2025-40604Download of Code Without Integrity Check Vulnerability in the SonicWall Email Security appliance loads root filesystem images without verifying signatures, allowing attackers with VMDK or datastore access to modify system files and gain persistent arbitrary code execution.
CVE-2025-31355A firmware update vulnerability exists in the Firmware Signature Validation functionality of Tenda AC6 V5.0 V02.03.01.110. A specially crafted malicious file can lead to arbitrary code execution. An attacker can provide a malicious file to trigger this vulnerability.
CVE-2025-28236В Nautel VX Series трансиверах с прошивкой версий VX_SW_6.4.0 и ниже обнаружена уязвимость удаленного выполнения кода (RCE) в процессе обновления прошивки. Злоумышленники могут выполнить произвольный код, предоставив специально созданный пакет обновления к конечной точке /#/software/upgrades. Рекомендуется обновить прошивку до более новой версии [1]. Источники: - [1] https://github.com/shiky8/my--cve-vulnerability-research/tree/main/CVE-2025-28236
CVE-2024-27438Уязвимость загрузки кода без проверки целостности в Apache Doris. Файлы драйвера jdbc, используемые для JDBC-каталога, не проверяются и могут привести к удаленному выполнению команд. Как только злоумышленник получает права на создание JDBC-каталога, он/она может использовать произвольный jar файл драйвера с непроверенным кодом. Этот код будет исполняться при инициализации каталога без каких-либо проверок. Эта проблема затрагивает Apache Doris: с 1.2.0 по 2.0.4. Пользователям рекомендуется обновиться до версии 2.0.5 или 2.1.x, которые исправляют проблему.
CVE-2023-45799В MLSoft TCO!stream версий 8.0.22.1115 и ниже существует уязвимость из-за недостаточной проверки разрешений. Это позволяет злоумышленнику заставить жертву загрузить и выполнить произвольные файлы.
CVE-2023-41921Уязвимость позволяет злоумышленникам загружать исходный код или исполняемый файл из удаленного местоположения и выполнять код, не проверяя в достаточной степени происхождение и целостность кода. Эта уязвимость может позволить злоумышленникам изменить микропрограмму перед ее загрузкой в систему, тем самым добившись изменения целостности цели для достижения небезопасного состояния.
CVE-2023-37220Synel Terminals - CWE-494: Загрузка кода без проверки целостности.
CVE-2023-27574ShadowsocksX-NG 1.10.0 подписывается правами com.apple.security.get-task-allow из-за CODE_SIGNING_INJECT_BASE_ENTITLEMENTS.
CVE-2022-24117Некоторые продукты General Electric Renewable Energy загружают прошивку без проверки целостности. Это относится к iNET и iNET II до версии 8.3.0, SD до версии 6.4.7, TD220X до версии 2.0.16 и TD220MAX до версии 1.2.6.
CVE-2020-7883Printchaser v2.2021.804.1 и более ранние версии содержат уязвимость, которая может позволить удаленному злоумышленнику загружать и выполнять удаленный файл, устанавливая аргумент, переменную в модуле activeX. Это можно использовать для выполнения кода.
CVE-2020-7873Загрузка кода без уязвимости проверки целостности в элементе управления ActiveX Younglimwon Co., Ltd позволяет злоумышленнику вызвать произвольную загрузку и выполнение файла.
CVE-2020-7826EyeSurfer BflyInstallerX.ocx v1.0.0.16 и более ранние версии содержат уязвимость, которая может позволить удаленным файлам загружаться путем установки аргументов для уязвимого метода. Это можно использовать для выполнения кода. Когда вызывается уязвимый метод, он не может должным образом проверить параметры, которые ему передаются.
CVE-2020-7813Элемент управления Ezhttptrans.ocx ActiveX в Kaoni ezHTTPTrans 1.0.0.70 и более ранних версиях содержит уязвимость, которая может позволить удаленному злоумышленнику загрузить и выполнить произвольный файл, установив аргументы для метода activex. Это можно использовать для выполнения кода.
CVE-2020-7812Элемент управления Ezhttptrans.ocx ActiveX в Kaoni ezHTTPTrans 1.0.0.70 и более ранних версиях содержит уязвимость, которая может позволить удаленному злоумышленнику загрузить произвольный файл, установив аргументы для метода activex. Это можно использовать для выполнения кода путем перезагрузки ПК жертвы.
Открыть на attack.mitre.org ↗
Совпадений нет — уточните фильтр.