V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыДокументация
← Вернуться к списку
T1110.004EnterpriseПодтехника
Матрица: Enterprise
Статус: Активная
STIX: 19.0
Источник ↗

Подстановка учетных данных

Злоумышленники могут использовать учетные данные, полученные из дампов взломов несвязанных учетных записей, для получения доступа к целевым учетным записям через совпадение учетных данных. Иногда большое количество пар имени пользователя и пароля сбрасывается в Интернете, когда веб-сайт или служба скомпрометированы и осуществляется доступ к учетным данным учетных записей пользователей. Эта информация может быть полезна злоумышленнику, пытающемуся скомпрометировать учетные записи, используя тенденцию пользователей использовать одни и те же пароли для личных и деловых учетных записей. Подстановка учетных данных — рискованный вариант, поскольку это может привести к многочисленным сбоям аутентификации и блокировкам учетных записей, в зависимости от политик организации в отношении сбоев входа. Обычно при подстановке учетных данных используются службы управления через часто используемые порты. Часто целевыми службами являются следующие: * SSH (22/TCP) * Telnet (23/TCP) * FTP (21/TCP) * NetBIOS / SMB / Samba (139/TCP и 445/TCP) * LDAP (389/TCP) * Kerberos (88/TCP) * RDP / Terminal Services (3389/TCP) * HTTP/HTTP Management Services (80/TCP и 443/TCP) * MSSQL (1433/TCP) * Oracle (1521/TCP) * MySQL (3306/TCP) * VNC (5900/TCP) В дополнение к службам управления злоумышленники могут "нацеливаться на приложения единого входа (SSO) и облачные приложения, использующие федеративные протоколы аутентификации", а также внешние почтовые приложения, такие как Office 365.

Тактики

Получение учетных данных

Родительская техника

T1110
Перебор

Платформы

ContainersESXiIaaSIdentity ProviderLinuxmacOSNetwork DevicesOffice SuiteSaaSWindows

Меры защиты

M1018
Управление учётными записями пользователей
M1027
Парольные политики
M1032
Многофакторная аутентификация
M1036
Политики использования учётных записей
Открыть в каталоге с фильтром ATT&CK →

Связанные CAPEC

CAPEC-600
Подстановка учётных данных

Затронутые уязвимости (выводимые)

CVE-2025-54863Radiometrics VizAir уязвим для воздействия клавиши REST API системы через общедоступный конфигурационный файл. Это позволяет злоумышленникам удаленно изменять данные о погоде и конфигурации, автоматизировать атаки против нескольких случаев и извлекать конфиденциальные метеорологические данные, которые потенциально могут скомпрометировать операции аэропорта. Кроме того, злоумышленники могут наводнить систему ложными оповещениями, что приводит к состоянию отказа в обслуживании и значительным сбоям в работе аэропорта. Несанкционированный дистанционный контроль авиационного мониторинга погоды и манипулирование данными может привести к неправильному планированию полетов и опасным условиям взлета и посадки.
CVE-2024-12799Уязвимость недостаточно защищенных учетных данных в OpenText Identity Manager Advanced Edition на Windows, Linux, 64 бит позволяет злоупотребление привилегиями. Эта уязвимость может позволить аутентифицированному пользователю получить конфиденциальную информацию более привилегированного пользователя через специально подготовленный полезный груз. Эта проблема затрагивает Identity Manager Advanced Edition: с 4.8.0.0 до 4.8.7.0102, 4.9.0.0.
CVE-2025-0867Обычный пользователь использует функцию запуска как для запуска приложений MEAC с административными привилегиями. Для обеспечения автоматического запуска системы учетные данные администратора были сохранены. В результате пользователь EPC2 может выполнять любые команды с административными привилегиями. Это позволяет повысить привилегии до уровня администратора.
CVE-2021-36783Уязвимость, связанная с недостаточно защищенными учетными данными в SUSE Rancher, позволяет аутентифицированным владельцам кластеров, членам кластеров, владельцам проектов и членам проектов читать учетные данные, пароли и токены API, которые были сохранены в виде открытого текста и предоставлены через конечные точки API. Эта проблема затрагивает: SUSE Rancher Rancher версии до 2.6.4; Rancher версии до 2.5.13.
CVE-2019-1384Существует уязвимость обхода функции безопасности, при которой сообщение NETLOGON может получить ключ сеанса и подписывать сообщения. Чтобы воспользоваться этой уязвимостью, злоумышленник может отправить специально созданный запрос аутентификации, также известная как «Уязвимость обхода функции безопасности Microsoft Windows».
CVE-2026-8760Логин с OTP-плагин для WordPress уязвим для обхода аутентификации во всех версиях до 1,6. Это связано с неполным исправлением для CVE-2024-11178: проверка, добавленная к `otpl_login_action()`, была размещена только внутри ветки ОПТ-поколения и никогда не оценивается на ветке OTP-валидации, а сгенерированный 6-значный OTP также не истекает. Это позволяет неаутентифицированным злоумышленникам грубо принуждать к ОПТ-пространству с 900,000 значений для любой учетной записи пользователя (включая администраторов) и получить действующую `wp_set_auth_cookie()` сессию, что приведет к полному компромиссу сайта.
CVE-2026-43914Vaultwarden - это сервер, совместимый с Bitwarden, написанный на Rust. До 1.35.4 в Vaultwarden есть уязвимость безопасности, которая позволяет обойти защиту от силы логина, если включена электронная почта 2fa. Если электронная почта 2fa включена, незащищенная 2fa-функция send_email_login (email.rs, api endpoint /api/two-factor/send-email-login) также действует как оракул, определяющий, верна ли комбинация имя-пароль пользователя. Нападающий может злоупотреблять этой конечной точкой паролей грубой силы без ограничения скорости. Это работает даже для пользователей, у которых нет настроенной электронной почты 2fa. Эта уязвимость фиксируется в разделе 1.35.4.
CVE-2026-23658Недостаточно защищенные учетные данные в Azure DevOps позволяют несанкционированному злоумышленнику повысить привилегии над сетью.
CVE-2026-22278Версии Dell PowerScale OneFS до 9.13.0.0 содержат неправильную уязвимость попыток аутентификации. Неаутентифицированный злоумышленник с удаленным доступом потенциально может использовать эту уязвимость, что приведет к несанкционированному доступу.
CVE-2025-7393Модуль Mail Login для Drupal содержит уязвимость обхода защиты от атак перебора, позволяющую злоумышленникам обойти защиту и потенциально получить доступ к учетной записи. Рекомендуется обновить модуль до версии 3.2.0 или 4.2.0 [1]. Источники: - [1] https://www.drupal.org/sa-contrib-2025-088
CVE-2025-63807Проблема была обнаружена в weijiang1994 университет-bbs (он же Blogin) в купи 9e06bab430bfc729f27b4284ba7570db3b11ce84 (2025-01-13). Слабый механизм генерации проверочных кодов в сочетании с ограничением скорости пропуска позволяет злоумышленникам выполнять атаки грубой силы на проверочные коды без аутентификации. Успешная эксплуатация может привести к поглощению учетной записи с помощью сброса пароля или других методов обхода аутентификации.
CVE-2025-58587Приложение не реализует достаточные меры для предотвращения нескольких неудачных попыток аутентификации в течение короткого периода времени, что позволяет злоумышленнику угадывать учетные данные пользователя.
CVE-2025-56221В продукте SigningHub версии 8.6.8 (и ниже) отсутствует ограничение количества попыток входа в систему, что позволяет злоумышленнику без ограничения выполнять подбор паролей (brute‑force). Аутентификационный API /authenticate не реализует rate‑limit или блокировку учётных записей, повышая риск компрометации. Рекомендуется внедрить период охлаждения или ограничение запросов. Уязвимость исправлена в версиях > 8.6.8. [1] https://github.com/saykino/CVE-2025-56221
CVE-2025-55306GenX_FX - это авансированная торговая платформа IA, которая будет сосредоточена на торговле на рынке Форекс. Уязвимость была идентифицирована в бэкенде GenX FX, где ключи API и токены аутентификации могут быть обнаружены, если переменные среды неправильно настроены. Несанкционированные пользователи могут получить доступ к облачным ресурсам (Google Cloud, Firebase, GitHub и т.д.).
CVE-2025-54428RevelaCode - это проект, ориентированный на интеллект, который декодирует библейские стихи, пророчества и глобальные события на доступный язык. В версиях ниже 1.0.1 действительный MongoDB Atlas URI со встроенным именем пользователя и паролем был случайно передан в общественное хранилище. Это может позволить несанкционированный доступ к производственным или постановочным базам данных, что может привести к эксфильтрации, изменению или удалению данных. Это исправлено в версии 1.0.1. Пространства включают в себя: немедленное вращение учетных данных для пользователя базы данных, использование секретного менеджера (например, Vault, Doppler, AWS Secrets Manager и т. Д.) Вместо хранения секретов непосредственно в коде или аудит недавних журналов доступа на предмет подозрительной активности.
Открыть на attack.mitre.org ↗
Совпадений нет — уточните фильтр.