T1078Enterprise
Действительные учетные записи
Злоумышленники могут получать и использовать учетные данные существующих учетных записей как средство получения первоначального доступа, закрепления, повышения привилегий или предотвращения обнаружения. Скомпрометированные учетные данные могут использоваться для обхода средств контроля доступа, размещенных на различных ресурсах в системах внутри сети, и могут даже использоваться для постоянного доступа к удаленным системам и внешне доступным службам, таким как VPN, Outlook Web Access, сетевые устройства и удаленный рабочий стол. Скомпрометированные учетные данные также могут предоставить злоумышленнику повышенные привилегии для конкретных систем или доступ к ограниченным областям сети. Злоумышленники могут решить не использовать вредоносное ПО или инструменты в сочетании с легитимным доступом, который предоставляют эти учетные данные, чтобы затруднить обнаружение их присутствия. В некоторых случаях злоумышленники могут использовать неактивные учетные записи: например, принадлежащие лицам, которые больше не являются частью организации. Использование этих учетных записей может позволить злоумышленнику избежать обнаружения, поскольку первоначальный пользователь учетной записи не будет присутствовать для выявления любой аномальной активности, происходящей в его учетной записи. Пересечение разрешений для локальных, доменных и облачных учетных записей в сети систем вызывает озабоченность, поскольку злоумышленник может разворачиваться между учетными записями и системами, чтобы достичь высокого уровня доступа (т.е. администратор домена или предприятия) для обхода средств контроля доступа, установленных в пределах предприятия.
Тактики
Первоначальный доступЗакреплениеПовышение привилегийПредотвращение обнаружения
Подтехники
Платформы
ContainersESXiIaaSIdentity ProviderLinuxmacOSNetwork DevicesOffice SuiteSaaSWindows
Меры защиты
M1013
Руководство для разработчиков приложений
M1015
Настройка Active Directory
M1017
Обучение пользователей
M1018
Управление учётными записями пользователей
M1026
Управление привилегированными учётными записями
M1027
Парольные политики
M1032
Многофакторная аутентификация
M1036
Политики использования учётных записей
Связанные CAPEC
Затронутые уязвимости (выводимые)
CVE-2025-54863Radiometrics VizAir is vulnerable to exposure of the system's REST API key through a publicly accessible configuration file. This allows attackers to remotely alter weather data and configurations, automate attacks against multiple instances, and extract sensitive meteorological data, which could potentially compromise airport operations. Additionally, attackers could flood the system with false alerts, leading to a denial-of-service condition and significant disruption to airport operations. Unauthorized remote control over aviation weather monitoring and data manipulation could result in incorrect flight planning and hazardous takeoff and landing conditions.
CVE-2024-12799Уязвимость недостаточно защищенных учетных данных в OpenText Identity Manager Advanced Edition на Windows, Linux,
64 бит позволяет злоупотребление привилегиями. Эта уязвимость может позволить аутентифицированному пользователю получить конфиденциальную информацию более привилегированного пользователя через специально подготовленный полезный груз.
Эта проблема затрагивает Identity Manager Advanced
Edition: с 4.8.0.0 до 4.8.7.0102, 4.9.0.0.
CVE-2025-0867Обычный пользователь использует функцию запуска как для запуска приложений MEAC с административными привилегиями. Для обеспечения автоматического запуска системы учетные данные администратора были сохранены. В результате пользователь EPC2 может выполнять любые команды с административными привилегиями. Это позволяет повысить привилегии до уровня администратора.
CVE-2021-36783Уязвимость, связанная с недостаточно защищенными учетными данными в SUSE Rancher, позволяет аутентифицированным владельцам кластеров, членам кластеров, владельцам проектов и членам проектов читать учетные данные, пароли и токены API, которые были сохранены в виде открытого текста и предоставлены через конечные точки API. Эта проблема затрагивает: SUSE Rancher Rancher версии до 2.6.4; Rancher версии до 2.5.13.
CVE-2019-1384Существует уязвимость обхода функции безопасности, при которой сообщение NETLOGON может получить ключ сеанса и подписывать сообщения. Чтобы воспользоваться этой уязвимостью, злоумышленник может отправить специально созданный запрос аутентификации, также известная как «Уязвимость обхода функции безопасности Microsoft Windows».
CVE-2026-22278Dell PowerScale OneFS versions prior to 9.13.0.0 contains an improper restriction of excessive authentication attempts vulnerability. An unauthenticated attacker with remote access could potentially exploit this vulnerability, leading to Unauthorized access.
CVE-2025-7393Модуль Mail Login для Drupal содержит уязвимость обхода защиты от атак перебора, позволяющую злоумышленникам обойти защиту и потенциально получить доступ к учетной записи. Рекомендуется обновить модуль до версии 3.2.0 или 4.2.0 [1].
Источники:
- [1] https://www.drupal.org/sa-contrib-2025-088
CVE-2025-63807An issue was discovered in weijiang1994 university-bbs (aka Blogin) in commit 9e06bab430bfc729f27b4284ba7570db3b11ce84 (2025-01-13). A weak verification code generation mechanism combined with missing rate limiting allows attackers to perform brute-force attacks on verification codes without authentication. Successful exploitation may result in account takeover via password reset or other authentication bypass methods.
CVE-2025-58587The application does not implement sufficient measures to prevent multiple failed authentication attempts within a short time frame, making it possible for an attacker to guess user credentials.
CVE-2025-56221В продукте SigningHub версии 8.6.8 (и ниже) отсутствует ограничение количества попыток входа в систему, что позволяет злоумышленнику без ограничения выполнять подбор паролей (brute‑force). Аутентификационный API /authenticate не реализует rate‑limit или блокировку учётных записей, повышая риск компрометации. Рекомендуется внедрить период охлаждения или ограничение запросов. Уязвимость исправлена в версиях > 8.6.8. [1] https://github.com/saykino/CVE-2025-56221
CVE-2025-55306GenX_FX is an advance IA trading platform that will focus on forex trading. A vulnerability was identified in the GenX FX backend where API keys and authentication tokens may be exposed if environment variables are misconfigured. Unauthorized users could gain access to cloud resources (Google Cloud, Firebase, GitHub, etc.).
CVE-2025-54428RevelaCode is an AI-powered faith-tech project that decodes biblical verses, prophecies and global events into accessible language. In versions below 1.0.1, a valid MongoDB Atlas URI with embedded username and password was accidentally committed to the public repository. This could allow unauthorized access to production or staging databases, potentially leading to data exfiltration, modification, or deletion. This is fixed in version 1.0.1. Workarounds include: immediately rotating credentials for the exposed database user, using a secret manager (like Vault, Doppler, AWS Secrets Manager, etc.) instead of storing secrets directly in code, or auditing recent access logs for suspicious activity.
CVE-2025-52095An issue in PDQ Smart Deploy V.3.0.2040 allows an attacker to escalate privileges via the Credential encryption routines in SDCommon.dll
CVE-2025-49195Механизм входа на FTP-сервер не ограничивает попытки аутентификации, что позволяет злоумышленнику подобрать пароль пользователя и потенциально скомпрометировать FTP-сервер [1][2][3][4][5].
Источники:
- [1] https://sick.com/psirt
- [2] https://cdn.sick.com/media/docs/1/11/411/Special_information_CYBERSECURITY_BY_SICK_en_IM0084411.PDF
- [3] https://www.cisa.gov/resources-tools/resources/ics-recommended-practices
- [4] https://www.first.org/cvss/calculator/3.1
- [5] https://www.sick.com/.well-known/csaf/white/2025/sca-2025-0007.pdf
CVE-2025-48187RAGFlow версии до 0.18.1 позволяет осуществить захват аккаунта из-за возможности проведения успешных атак методом перебора против кодов подтверждения email для выполнения произвольной регистрации аккаунта, входа и сброса пароля. Коды состоят из шести цифр, и отсутствует ограничение скорости [1].
Дополнительная информация:
Уязвимость затрагивает конечные точки /api/verify-code и /api/signup, позволяя злоумышленникам регистрировать произвольные учетные записи, входить в систему и сбрасывать пароли [2].
Источники:
- [1] https://github.com/infiniflow/ragflow/commits/main/
- [2] https://www.cnblogs.com/qiushuo/p/18881084
Совпадений нет — уточните фильтр.