T1552.004EnterpriseПодтехника
Закрытые ключи
Злоумышленники могут искать файлы сертификатов закрытых ключей в скомпрометированных системах на наличие небезопасно хранящихся учетных данных. Закрытые криптографические ключи и сертификаты используются для аутентификации, шифрования/дешифрования и цифровых подписей. Общие расширения файлов ключей и сертификатов включают: .key, .pgp, .gpg, .ppk., .p12, .pem, .pfx, .cer, .p7b, .asc.
Злоумышленники также могут искать в общих каталогах ключей, таких как ~/.ssh для ключей SSH в системах на базе *nix или C:\Users\(имя пользователя)\.ssh\ в Windows. Инструменты злоумышленников также могут искать в скомпрометированных системах расширения файлов, относящиеся к криптографическим ключам и сертификатам.
Когда устройство регистрируется в Entra ID, генерируются ключ устройства и транспортный ключ, которые используются для проверки идентификации устройства. Злоумышленник с доступом к устройству может экспортировать ключи для имитации устройства.
На сетевых устройствах закрытые ключи могут быть экспортированы с помощью команд интерфейса командной строки сетевого устройства, таких как `crypto pki export`.
Некоторые закрытые ключи требуют пароля или парольной фразы для работы, поэтому злоумышленник также может использовать перехват ввода для ведения журнала клавиатуры или попытаться перебрать парольную фразу в автономном режиме. Эти закрытые ключи можно использовать для аутентификации в удаленных службах, таких как SSH, или для дешифрования других собранных файлов, таких как электронная почта.
Тактики
Получение учетных данных
Родительская техника
T1552
Незащищенные учетные данные
Платформы
LinuxmacOSNetwork DevicesWindows
Меры защиты
Связанные CAPEC
Затронутые уязвимости (выводимые)
CVE-2025-54863Radiometrics VizAir is vulnerable to exposure of the system's REST API key through a publicly accessible configuration file. This allows attackers to remotely alter weather data and configurations, automate attacks against multiple instances, and extract sensitive meteorological data, which could potentially compromise airport operations. Additionally, attackers could flood the system with false alerts, leading to a denial-of-service condition and significant disruption to airport operations. Unauthorized remote control over aviation weather monitoring and data manipulation could result in incorrect flight planning and hazardous takeoff and landing conditions.
CVE-2025-41240Три Helm-чарта Bitnami монтируют Kubernetes Secrets в предсказуемом пути (/opt/bitnami/*/secrets) внутри корневого каталога веб-сервера. В уязвимых версиях это может привести к неаутентифицированному доступу к конфиденциальным данным через HTTP/S, если приложение доступно извне [1].
Рекомендуется обновиться до исправленной версии чарта. В качестве обходного решения можно использовать `usePasswordFiles=false` для хранения секретов в переменных окружения [1].
Источники:
- [1] https://github.com/bitnami/charts/security/advisories/GHSA-wgg9-9qgw-529w
CVE-2025-12216Malicious / Malformed App can be Installed but not Uninstalled/may lead to unavailability.This issue affects BLU-IC2: through 1.19.5; BLU-IC4: through 1.19.5.
CVE-2024-12799Уязвимость недостаточно защищенных учетных данных в OpenText Identity Manager Advanced Edition на Windows, Linux,
64 бит позволяет злоупотребление привилегиями. Эта уязвимость может позволить аутентифицированному пользователю получить конфиденциальную информацию более привилегированного пользователя через специально подготовленный полезный груз.
Эта проблема затрагивает Identity Manager Advanced
Edition: с 4.8.0.0 до 4.8.7.0102, 4.9.0.0.
CVE-2019-0007Программное обеспечение серии vMX использует предсказуемый IP ID Sequence Number. Это делает систему, а также клиентов, подключающихся через устройство, восприимчивыми к семейству атак, которые основаны на использовании предсказуемых IP ID Sequence Number в качестве основного метода атаки. Эта проблема была обнаружена во время внутреннего тестирования безопасности продукта. Уязвимые выпуски: Juniper Networks Junos OS: 15.1 версии до 15.1F5 в серии vMX.
CVE-2025-0867Обычный пользователь использует функцию запуска как для запуска приложений MEAC с административными привилегиями. Для обеспечения автоматического запуска системы учетные данные администратора были сохранены. В результате пользователь EPC2 может выполнять любые команды с административными привилегиями. Это позволяет повысить привилегии до уровня администратора.
CVE-2024-39931Gogs до версии 0.13.0 позволяет удалять внутренние файлы.
CVE-2021-36783Уязвимость, связанная с недостаточно защищенными учетными данными в SUSE Rancher, позволяет аутентифицированным владельцам кластеров, членам кластеров, владельцам проектов и членам проектов читать учетные данные, пароли и токены API, которые были сохранены в виде открытого текста и предоставлены через конечные точки API. Эта проблема затрагивает: SUSE Rancher Rancher версии до 2.6.4; Rancher версии до 2.5.13.
CVE-2021-36782Уязвимость, связанная с хранением конфиденциальной информации в виде открытого текста в SUSE Rancher, позволяет аутентифицированным владельцам кластеров, членам кластеров, владельцам проектов, членам проектов и базе пользователей использовать API Kubernetes для получения версии конфиденциальных данных в виде открытого текста. Эта проблема затрагивает: SUSE Rancher Rancher версии до 2.5.16; Rancher версии до 2.6.7.
CVE-2019-1384Существует уязвимость обхода функции безопасности, при которой сообщение NETLOGON может получить ключ сеанса и подписывать сообщения. Чтобы воспользоваться этой уязвимостью, злоумышленник может отправить специально созданный запрос аутентификации, также известная как «Уязвимость обхода функции безопасности Microsoft Windows».
CVE-2026-27637FreeScout is a free help desk and shared inbox built with PHP's Laravel framework. Prior to version 1.8.206, FreeScout's `TokenAuth` middleware uses a predictable authentication token computed as `MD5(user_id + created_at + APP_KEY)`. This token is static (never expires/rotates), and if an attacker obtains the `APP_KEY` — a well-documented and common exposure vector in Laravel applications — they can compute a valid token for any user, including the administrator, achieving full account takeover without any password. This vulnerability can be exploited on its own or in combination with CVE-2026-27636. Version 1.8.206 fixes both vulnerabilities.
CVE-2026-2331An attacker may perform unauthenticated read and write operations on sensitive filesystem areas via the AppEngine Fileaccess over HTTP due to improper access restrictions. A critical filesystem directory was unintentionally exposed through the HTTP-based file access feature, allowing access without authentication. This includes device parameter files, enabling an attacker to read and modify application settings, including customer-defined passwords. Additionally, exposure of the custom application directory may allow execution of arbitrary Lua code within the sandboxed AppEngine environment.
CVE-2025-65826The mobile application was found to contain stored credentials for the network it was developed on. If an attacker retrieved this, and found the physical location of the Wi-Fi network, they could gain unauthorized access to the Wi-Fi network of the vendor. Additionally, if an attacker were located in close physical proximity to the device when it was first set up, they may be able to force the device to auto-connect to an attacker-controlled access point by setting the SSID and password to the same as which was found in the firmware file.
CVE-2025-55306GenX_FX is an advance IA trading platform that will focus on forex trading. A vulnerability was identified in the GenX FX backend where API keys and authentication tokens may be exposed if environment variables are misconfigured. Unauthorized users could gain access to cloud resources (Google Cloud, Firebase, GitHub, etc.).
CVE-2025-54428RevelaCode is an AI-powered faith-tech project that decodes biblical verses, prophecies and global events into accessible language. In versions below 1.0.1, a valid MongoDB Atlas URI with embedded username and password was accidentally committed to the public repository. This could allow unauthorized access to production or staging databases, potentially leading to data exfiltration, modification, or deletion. This is fixed in version 1.0.1. Workarounds include: immediately rotating credentials for the exposed database user, using a secret manager (like Vault, Doppler, AWS Secrets Manager, etc.) instead of storing secrets directly in code, or auditing recent access logs for suspicious activity.
Совпадений нет — уточните фильтр.