V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
T1528Enterprise
Матрица: Enterprise
Статус: Активная
STIX: 19.0
Источник ↗

Кража токена доступа приложения

Злоумышленники могут красть токены доступа приложений как средство получения учетных данных для доступа к удаленным системам и ресурсам. Токены доступа приложений используются для выполнения авторизованных API-запросов от имени пользователя или службы и обычно используются как способ доступа к ресурсам в облачных и контейнерных приложениях и программном обеспечении как услуге (SaaS). Злоумышленники, которые крадут токены API учетных записей в облачных и контейнерных средах, могут получить доступ к данным и выполнять действия с разрешениями этих учетных записей, что может привести к повышению привилегий и дальнейшей компрометации среды. Например, в средах Kubernetes процессы, работающие внутри контейнера, могут взаимодействовать с сервером API Kubernetes, используя токены служебных учетных записей. Если контейнер скомпрометирован, злоумышленник может украсть токен контейнера и тем самым получить доступ к командам API Kubernetes. Аналогично, экземпляры в конвейерах непрерывной разработки/непрерывной интеграции (CI/CD) часто используют токены API для аутентификации в других службах для тестирования и развертывания. Если эти конвейеры скомпрометированы, злоумышленники могут украсть эти токены и использовать их привилегии. В Azure злоумышленник, который компрометирует ресурс с прикрепленной управляемой идентификацией, такой как виртуальная машина Azure, может запросить краткосрочные токены через службу метаданных экземпляра Azure (IMDS). Эти токены затем могут способствовать несанкционированным действиям или дальнейшему доступу к другим службам Azure, обходя типичную аутентификацию на основе учетных данных. Кража токенов также может происходить через социальную инженерию, и в этом случае может потребоваться действие пользователя для предоставления доступа. OAuth — это одна из часто реализуемых платформ, которая выдает токены пользователям для доступа к системам. Приложение, желающее получить доступ к облачным службам или защищенным API, может получить доступ с помощью OAuth 2.0 через различные протоколы авторизации. Примером часто используемой последовательности является поток предоставления кода авторизации Microsoft. Токен доступа OAuth позволяет стороннему приложению взаимодействовать с ресурсами, содержащими пользовательские данные, способами, запрошенными приложением, без получения учетных данных пользователя. Злоумышленники могут использовать авторизацию OAuth, создав вредоносное приложение, предназначенное для получения доступа к ресурсам с токеном OAuth целевого пользователя. Злоумышленнику потребуется завершить регистрацию своего приложения на сервере авторизации, например на платформе Microsoft Identity Platform с использованием портала Azure, среды разработки Visual Studio, интерфейса командной строки, PowerShell или вызовов REST API. Затем они могут отправить ссылку целевого фишинга целевому пользователю, чтобы побудить его предоставить доступ к приложению. После предоставления токена доступа OAuth приложение может получить потенциально долгосрочный доступ к функциям учетной записи пользователя через токен доступа приложения. Токены доступа приложений могут функционировать в течение ограниченного времени, ограничивая то, как долго злоумышленник может использовать украденный токен. Однако в некоторых случаях злоумышленники также могут красть токены обновления приложений, позволяя им получать новые токены доступа без запроса пользователя.

Тактики

Получение учетных данных

Платформы

ContainersIaaSIdentity ProviderOffice SuiteSaaS

Меры защиты

M1017
Обучение пользователей
M1018
Управление учётными записями пользователей
M1021
Ограничение веб-контента
M1047
Аудит
Открыть в каталоге с фильтром ATT&CK →

Связанные CAPEC

CAPEC-21
Эксплуатация доверенных идентификаторов

Затронутые уязвимости (выводимые)

CVE-2026-6213Уязвимость в Remote SparkSingSer перед сборкой 1122 позволяет злоумышленнику обойти проверку локального соединения и добиться произвольного выполнения кода в качестве корня на стороне сервера. В зависимости от реализации уязвимость может быть использована неаутентифицированным злоумышленником.
CVE-2026-42901Повышение привилегий в Microsoft Entra ID
CVE-2026-42160Data Space Portal - это решение с открытым исходным кодом «Программное обеспечение как услуга» (SaaS), предназначенное для оптимизации управления Dataspace. От версии 2.1.1 до версии 7.3.2 в backends dataspace-portal недостаточно авторизации в отношении самозарегистрированных учетных записей организации/пользователей «В ОЖИДАЮЩИХСЯ». Этот вопрос был исправлен в версии 7.3.2.
CVE-2026-23478Cal.com - это программное обеспечение для планирования с открытым исходным кодом. С 3.1.6 до 6.0.7 существует уязвимость в пользовательском звонке NextAuth JWT, которая позволяет злоумышленникам получить полный аутентифицированный доступ к учетной записи любого пользователя, утоливая целевой адрес электронной почты через session.update(). Эта уязвимость зафиксирована в 6.0.7.
CVE-2025-34063Уязвимость обхода криптографической аутентификации существует в OneLogin AD Connector до 6.1.5 из-за воздействия клавиши подписи SSO JWT арендатора через конечную точку /api/adc/v4/конфигурацию. Злоумышленник, владеющий ключом подписи, может создавать действительные токены JWT, выдающие себя за произвольных пользователей в арендаторе OneLogin. Выполненные токены позволяют аутентифицироваться на портал OneLogin SSO и все приложения, объединенные через SAML или OIDC. Это обеспечивает полный несанкционированный доступ через SaaS-среду жертвы.
CVE-2024-54085SPx компании AMI содержит уязвимость в BMC, которая позволяет злоумышленнику удаленно обойти аутентификацию через интерфейс Redfish Host. Успешная эксплуатация этой уязвимости может привести к утечке конфиденциальной информации, повреждению целостности и/или доступности.
CVE-2023-30856eDEX-UI is a science fiction terminal emulator. Versions 2.2.8 and prior are vulnerable to cross-site websocket hijacking. When running eDEX-UI and browsing the web, a malicious website can connect to eDEX's internal terminal control websocket, and send arbitrary commands to the shell. The project has been archived since 2021, and as of time of publication there are no plans to patch this issue and release a new version. Some workarounds are available, including shutting down eDEX-UI when browsing the web and ensuring the eDEX terminal runs with lowest possible privileges.
CVE-2021-20151Trendnet AC2600 TEW-827DRU версии 2.08B01 содержит недостаток в управлении сеансами для устройства. Программное обеспечение управления маршрутизатором управляет веб-сеансами на основе IP-адреса, а не проверяет файлы cookie/токены сеанса клиента и т. д. Это позволяет злоумышленнику (будь то с другого компьютера, другого веб-браузера на той же машине и т. д.) захватить существующий сеанс. Это требует от злоумышленника возможности подделать или захватить исходный IP-адрес сеанса исходного пользователя.
CVE-2020-5415Concourse, версии до 6.3.1 и 6.4.1, в установках, использующих коннектор аутентификации GitLab, уязвим для подмены идентификации путем настройки учетной записи GitLab с тем же полным именем, что и у другого пользователя, которому предоставлен доступ к команде Concourse. Группы GitLab не имеют этой уязвимости, поэтому пользователей GitLab можно перемещать в группы, которые затем настраиваются в команде Concourse.
CVE-2026-22797Проблема была обнаружена в OpenStack keystonemiddledleware 10.5-10.7 до 10.7.2, 10.8 и 10.9 до 10.9.1 и с 10,10 по 10.12 до 10.12.1. Промежуточный программный обеспечение external_outh2_token не может дезинфицировать входящие заголовки аутентификации перед обработкой токенов OAuth 2.0. Отправляя поддельные заголовки идентификационных данных, такие как X-Is-Admin-Project, X-Roles или X-User-Id, аутентифицированный злоумышленник может усиливать привилегии или выдавать себя за других пользователей. Все развертывания, использующие промежуточного программного обеспечения external_oauth2_token, затронуты.
CVE-2024-6678В GitLab CE/EE обнаружена проблема, затрагивающая все версии, начиная с 8.14 до 17.1.7, начиная с 17.2 до 17.2.5 и начиная с 17.3 до 17.3.2, которая позволяет злоумышленнику запускать конвейер от имени произвольного пользователя при определенных обстоятельствах.
CVE-2024-56404В One Identity Identity Manager 9.x до версии 9.3 уязвимость insecure direct object reference (IDOR) позволяет повысить привилегии. Затронуты только локальные установки.
CVE-2026-6508Уязвимость ошибки проверки происхождения в TUBITAK BILGEM Software Technologies Research Institute Liderahenk позволяет получать доступ к функциональности, не сдерживаемую ACL. Этот вопрос затрагивает Liderahenk: от 2.0.1 до 2.0.2.
CVE-2026-48567Обход аутентификации путем спуфинга в Azure HorizonDB позволяет неавторизованному злоумышленнику повысить привилегии над сетью.
CVE-2026-44649SillyTavern - это локально установленный пользовательский интерфейс, который позволяет пользователям взаимодействовать с большими языковыми моделями генерации текста, движками генерации изображений и текстовыми голосовыми моделями. До 1.18.0 SillyTavern принимает заголовки Remote-User (Authelia) и X-Authentik-Username (Authentik) для автоматического входа пользователей при настройке SSO. Нет никакой проверки того, что эти заголовки происходят от надежного обратного прокси. Любой сетевой клиент, который может достичь порта SillyTavern напрямую, может вводить эти заголовки и аутентифицироваться как любой пользователь, включая администраторов, без пароля. Эта уязвимость может быть использована только тогда, когда sso.autheliaAuth: true or sso.authentikAuth: true установлен в config.yaml (оба по умолчанию до ложного). Эта уязвимость фиксируется в разделе 1.18.0.
Открыть на attack.mitre.org ↗
Совпадений нет — уточните фильтр.