T1090.004EnterpriseПодтехника
Подмена домена
Злоумышленники могут воспользоваться схемами маршрутизации в сетях доставки контента (CDN) и других сервисах, которые размещают несколько доменов, чтобы обфусцировать предполагаемое назначение трафика HTTPS или трафика, туннелированного через HTTPS. Подмена домена включает использование разных доменных имен в поле SNI заголовка TLS и поле Host заголовка HTTP. Если оба домена обслуживаются из одной и той же CDN, то CDN может маршрутизировать на адрес, указанный в заголовке HTTP, после разворачивания заголовка TLS. Вариант этой техники, "бездоменная" подмена, использует поле SNI, которое оставлено пустым; это может позволить подмене работать даже тогда, когда CDN пытается проверить, что поля SNI и HTTP Host совпадают (если пустые поля SNI игнорируются). Например, если домен-x и домен-y являются клиентами одной и той же CDN, можно поместить домен-x в заголовок TLS и домен-y в заголовок HTTP. Трафик будет выглядеть так, как будто он направляется к домену-x, однако CDN может направить его к домену-y.
Тактики
Организация управления
Родительская техника
T1090
Прокси
Платформы
LinuxmacOSWindowsESXi
Меры защиты
Затронутые уязвимости (выводимые)
CVE-2024-41889Несколько продуктов Pimax принимают WebSocket-соединения от непредусмотренных конечных точек. В случае эксплуатации этой уязвимости, удаленный неавторизованный злоумышленник может выполнить произвольный код.
CVE-2019-17440Неправильное ограничение связи с картой пересылки журналов (LFC) на устройствах серии PA-7000 с картой управления коммутатором второго поколения (SMC) может позволить злоумышленнику с сетевым доступом к LFC получить root-доступ к PAN-OS. Эта проблема затрагивает версии PAN-OS 9.0 до 9.0.5-h3 на устройствах PA-7080 и PA-7050 с установленной и настроенной LFC. Эта проблема не затрагивает развертывания серии PA-7000, использующие SMC первого поколения и карту обработки журналов (LPC). Эта проблема не затрагивает никакие другие устройства серии PA. Эта проблема не затрагивает устройства без LFC. Эта проблема не затрагивает PAN-OS 8.1 или более ранние выпуски. Эта проблема затронула лишь очень ограниченное число клиентов, и мы предприняли индивидуальные меры, чтобы помочь им обновиться. На момент публикации все идентифицированные клиенты обновили SW или контент и не подвержены воздействию.
CVE-2017-3891В BlackBerry QNX Software Development Platform (SDP) 6.6.0, повышение привилегий в конфигурации QNX SDP по умолчанию с включенным QNet в сетях, состоящих из двух или более узлов QNet, может позволить злоумышленнику получить доступ к локальным и удаленным файлам или завладеть файлами на других узлах QNX независимо от разрешений, выполняя команды, нацеленные на произвольные узлы, из вторичного узла QNX 6.6.0 QNet.
CVE-2023-28078Dell OS10 Networking Switches под управлением 10.5.2.x и выше содержат уязвимость в zeroMQ, когда настроен VLT. Удаленный неаутентифицированный злоумышленник может воспользоваться этой уязвимостью, что приведет к раскрытию информации и возможному отказу в обслуживании, когда на коммутатор отправляется огромное количество запросов. Это уязвимость высокой степени серьезности, поскольку она позволяет злоумышленнику просматривать конфиденциальные данные. Dell рекомендует клиентам выполнить обновление как можно скорее.
CVE-2022-43916IBM App Connect Enterprise Certified Container версии 7.1, 7.2, 8.0, 8.1, 8.2, 9.0, 9.1, 9.2, 10.0, 10.1, 11.0, 11.1, 11.2, 11.3, 11.4, 11.5, 11.6, 12.0, 12.1, 12.2, 12.3, 12.4, 12.5, 12.6 и 12.7 Pods не ограничивают исходящие сетевые соединения для Pods, которые используются для внутренней инфраструктуры.
CVE-2025-20261Уязвимость в обработке SSH-соединений Cisco Integrated Management Controller (IMC) для серверов Cisco UCS B-Series, UCS C-Series, UCS S-Series и UCS X-Series может позволить аутентифицированному удаленному злоумышленнику получить доступ к внутренним службам с повышенными привилегиями. Это связано с недостаточными ограничениями на доступ к внутренним службам. Злоумышленник с действительной учетной записью может эксплуатировать эту уязвимость, используя нестандартный синтаксис при подключении к Cisco IMC на уязвимом устройстве через SSH, что может привести к неавторизованным изменениям в системе, включая возможность создания новых учетных записей администратора на уязвимом устройстве [1].
Источники:
- [1] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ucs-ssh-priv-esc-2mZDtdjM
CVE-2025-61939An unused function in MicroServer can start a reverse SSH connection to a vendor registered domain, without mutual authentication. An attacker on the local network with admin access to the web server, and the ability to manipulate DNS responses, can redirect the SSH connection to an attacker controlled device.
CVE-2025-29986В Dell Common Event Enabler (CEE) версий CEE 9.0.0.0 существует уязвимость, связанная с неправильным ограничением канала связи, что позволяет неавторизованному злоумышленнику получить доступ к конфиденциальной информации. Источники:
- [1] https://www.dell.com/support/kbdoc/en-us/000303931/dsa-2025-158-security-update-for-dell-common-event-enabler-vulnerabilities
CVE-2024-1657Обнаружена уязвимость в платформе автоматизации ansible. При установке с сервера Ansible rulebook EDA использовалось небезопасное WebSocket-соединение. Злоумышленник, имеющий доступ к любой машине в CIDR-блоке, может загрузить все данные rulebook из WebSocket, что приведет к потере конфиденциальности и целостности системы.
CVE-2024-26131Element Android — это клиент Android Matrix. Element Android версии 1.4.3–1.6.10 уязвим для перенаправления намерений, что позволяет стороннему вредоносному приложению запускать любое внутреннее действие, передавая некоторые дополнительные параметры. Возможное воздействие включает в себя отображение Element Android произвольной веб-страницы, выполнение произвольного JavaScript; обход защиты PIN-кодом; и захват учетной записи путем создания экрана входа для отправки учетных данных на произвольный домашний сервер. Эта проблема устранена в Element Android 1.6.12. Не существует известных обходных путей для смягчения этой проблемы.
CVE-2024-47490Ненадлежащее ограничение канала связи до предполагаемых конечных точек в подсистеме пересылки пакетов (PFE) Juniper Networks Junos OS Evolved на устройствах серии ACX 7000 позволяет не прошедшему аутентификацию злоумышленнику в сети вызвать повышенное потребление ресурсов, что в конечном итоге приведет к отказу в обслуживании (DoS).
Когда PFE получает определенные транзитные MPLS-пакеты, эти пакеты внутренне пересылаются в подсистему маршрутизации (RE), а не обрабатываются надлежащим образом. Непрерывное получение этих MPLS-пакетов приводит к истощению ресурсов. Для воздействия этой проблемы не требуется конфигурация MPLS.
Эта проблема затрагивает Junos OS Evolved ACX 7000 Series:
* Все версии до 21.4R3-S9-EVO,
* 22.2-EVO до 22.2R3-S4-EVO,
* 22.3-EVO до 22.3R3-S3-EVO,
* 22.4-EVO до 22.4R3-S2-EVO,
* 23.2-EVO до 23.2R2-EVO,
* 23.4-EVO до 23.4R1-S1-EVO, 23.4R2-EVO.
CVE-2025-23178CWE-923: Неправильное ограничение канала связи до предполагаемых конечных точек.
Источники:
- [1] https://www.gov.il/en/departments/dynamiccollectors/cve_advisories_listing?skip=0
CVE-2024-47125goTenna Pro App не аутентифицирует открытые ключи, что позволяет неаутентифицированному злоумышленнику манипулировать сообщениями. Рекомендуется обновить приложение до текущей версии для улучшения протоколов шифрования.
CVE-2026-23664Improper restriction of communication channel to intended endpoints in Azure IoT Explorer allows an unauthorized attacker to disclose information over a network.
CVE-2024-34446Mullvad VPN до 2024.1 на Android не устанавливает DNS-сервер в состояние блокировки (после серьезной неудачи при создании туннеля), и, таким образом, DNS-трафик может покидать устройство. Данные, показывающие, что затронутое устройство было источником конфиденциальных DNS-запросов, могут наблюдаться и регистрироваться операторами непредназначенных DNS-серверов.
Совпадений нет — уточните фильтр.