T1542.002 · Прошивка компонентов

Сканер-ВСкаталог уязвимостей · v4.2

T1542.002EnterpriseПодтехника

Матрица: Enterprise

Статус: Активная

STIX: 19.0

Источник ↗

Прошивка компонентов

Злоумышленники могут изменять прошивку компонентов для закрепления в системах. Некоторые злоумышленники могут использовать сложные средства для компрометации компьютерных компонентов и установки вредоносной прошивки, которая будет выполнять код злоумышленника вне операционной системы и основной системной прошивки или BIOS. Эта техника может быть аналогична системной прошивке, но выполняется на других системных компонентах/устройствах, которые могут не иметь такой же возможности или уровня проверки целостности. Вредоносная прошивка компонентов может обеспечить как постоянный уровень доступа к системам, несмотря на потенциальные типичные сбои в поддержании доступа и переобразование жестких дисков, так и способ обхода защиты на основе программного обеспечения хоста и проверок целостности.

Тактики

ЗакреплениеПредотвращение обнаружения

Родительская техника

Предварительная загрузка ОС

Платформы

WindowsLinuxmacOS

Меры защиты

Обновление программного обеспечения

Открыть в каталоге с фильтром ATT&CK →

Связанные CAPEC

Изменение микропрограммы компонентов

Эксплуатация уязвимостей защиты Thunderbolt

Затронутые уязвимости (выводимые)

CVE-2026-31957Himmelblau is an interoperability suite for Microsoft Azure Entra ID and Intune. From 3.0.0 to before 3.1.0, if Himmelblau is deployed without a configured tenant domain in himmelblau.conf, authentication is not tenant-scoped. In this mode, Himmelblau can accept authentication attempts for arbitrary Entra ID domains by dynamically registering providers at runtime. This behavior is intended for initial/local bootstrap scenarios, but it can create risk in remote authentication environments. This vulnerability is fixed in 3.1.0.

CVE-2026-28775An unauthenticated Remote Code Execution (RCE) vulnerability exists in the SNMP service of International Datacasting Corporation (IDC) SFX Series SuperFlex SatelliteReceiver. The deployment insecurely provisions the `private` SNMP community string with read/write access by default. Because the SNMP agent runs as root, an unauthenticated remote attacker can utilize `NET-SNMP-EXTEND-MIB` directives, abusing the fact that the system runs a vulnerable version of net-snmp pre 5.8, to execute arbitrary operating system commands with root privileges.

CVE-2026-20079Выполнение произвольного кода в Cisco Secure Firewall Management Center

CVE-2025-64121Authentication Bypass Using an Alternate Path or Channel vulnerability in Nuvation Energy Multi-Stack Controller (MSC) allows Authentication Bypass.This issue affects Multi-Stack Controller (MSC): from 2.3.8 before 2.5.1.

CVE-2025-45854JEHC-BPM 2.0.1 содержит уязвимость удаленного выполнения команд в компоненте /server/executeExec, позволяющую злоумышленникам выполнять произвольный код без авторизации [1]. Уязвимый метод executeExec принимает параметры, переданные пользователем, и выполняет команды без надлежащей проверки. Источники: - [1] https://gitee.com/jehc/JEHC-BPM - [2] https://gist.github.com/Cafe-Tea/bc14b38f4bfd951de2979a24c3358460 - [3] https://web.archive.org/web/20250604134020/https://gist.github.com/Cafe-Tea/bc14b38f4bfd951de2979a24c3358460/revisions

CVE-2025-41672Удаленный неаутентифицированный злоумышленник может использовать сертификаты по умолчанию для генерации JWT-токенов и получить полный доступ к инструменту и всем подключенным устройствам [1]. Уязвимость возникает из-за того, что система устанавливает одинаковые сертификаты для подписи JWT-токенов на всех установках вместо генерации уникальных. Это позволяет любому, кто имеет общий ключ, создавать действительные токены и выдавать себя за пользователей. Рекомендуется обновить WAGO Device Sphere до версии 1.0.1. Источники: - [1] https://cert.vde.com/en/advisories/VDE-2025-057 - [2] https://wago.csaf-tp.certvde.com/.well-known/csaf/white/2025/vde-2025-057.json

CVE-2025-30416Sensitive data disclosure and manipulation due to missing authorization. The following products are affected: Acronis Cyber Protect 16 (Linux, Windows) before build 39938, Acronis Cyber Protect 15 (Linux, Windows) before build 41800.

CVE-2025-22609Coolify — это инструмент с открытым исходным кодом и самохостинга для управления серверами, приложениями и базами данных. До версии 4.0.0-beta.361 отсутствующая авторизация позволяет любому аутентифицированному пользователю прикрепить любой существующий приватный ключ на экземпляре coolify к своему собственному серверу. Если серверная конфигурация IP/домен, порт (скорее всего 22) и пользователь (root) совпадает с конфигурацией сервера жертвы, то злоумышленник может использовать функцию `Terminal` и выполнять произвольные команды на сервере жертвы. В версии 4.0.0-beta.361 данная проблема исправлена.

CVE-2024-6500Плагин InPost for WooCommerce и плагин InPost PL для WordPress уязвимы для несанкционированного доступа и удаления данных из-за отсутствия проверки возможностей в функции 'parse_request' во всех версиях до 1.4.0 включительно (для InPost for WooCommerce), а также 1.4.4 (для InPost PL). Это делает возможным для неаутентифицированных злоумышленников читать и удалять произвольные файлы на серверах Windows. На серверах Linux будут удалены только файлы внутри установки WordPress, но все файлы могут быть прочитаны.

CVE-2024-6071PTC Creo Elements/Direct License Server предоставляет веб-интерфейс, который может быть использован не прошедшими проверку подлинности удаленными злоумышленниками для выполнения произвольных команд ОС на сервере.

CVE-2024-52416Отсутствие авторизации в Eugen Bobrowski Debug Tool позволяет загрузить веб-оболочку на веб-сервер. Эта проблема затрагивает Debug Tool: от n/a до 2.2.

CVE-2024-33566Отсутствие авторизации в N-Media OrderConvo позволяет осуществить внедрение команд ОС. Эта проблема затрагивает OrderConvo: от n/a до 12.4.

CVE-2024-2973Обход аутентификации с использованием альтернативного пути или канала в Juniper Networks Session Smart Router или conductor, работающем с резервным пиром, позволяет злоумышленнику в сети обойти аутентификацию и получить полный контроль над устройством. Эта уязвимость затрагивает только маршрутизаторы или conductors, работающие в высокодоступных резервных конфигурациях. Эта проблема не затрагивает другие продукты или платформы Juniper Networks. Эта проблема затрагивает: Session Smart Router: * Все версии до 5.6.15, * с 6.0 до 6.1.9-lts, * с 6.2 до 6.2.5-sts. Session Smart Conductor: * Все версии до 5.6.15, * с 6.0 до 6.1.9-lts, * с 6.2 до 6.2.5-sts. WAN Assurance Router: * Версии 6.0 до 6.1.9-lts, * Версии 6.2 до 6.2.5-sts.

CVE-2024-2912В BentoML framework существует уязвимость небезопасной десериализации, позволяющая удаленно выполнить код (RCE) путем отправки специально созданного POST-запроса. Используя эту уязвимость, злоумышленники могут выполнять произвольные команды на сервере, на котором размещено приложение BentoML. Уязвимость возникает, когда сериализованный объект, созданный для выполнения команд ОС при десериализации, отправляется в любую действительную конечную точку BentoML. Эта проблема представляет собой значительный риск для безопасности, позволяя злоумышленникам скомпрометировать сервер и потенциально получить несанкционированный доступ или контроль.

CVE-2024-2013В сервере FOXMAN-UN/UNEM / компоненте API Gateway существует уязвимость обхода аутентификации, которая, в случае эксплуатации, позволяет злоумышленникам без какого-либо доступа взаимодействовать со службами и поверхностью атаки после аутентификации.

Открыть на attack.mitre.org ↗

Совпадений нет — уточните фильтр.