T1554Enterprise
Компрометация двоичных файлов ПО узла
Злоумышленники могут изменять двоичные файлы программного обеспечения узла для установления постоянного доступа к системам. Двоичные/исполняемые файлы программного обеспечения предоставляют широкий спектр системных команд или служб, программ и библиотек. К распространенным двоичным файлам программного обеспечения относятся клиенты SSH, клиенты FTP, почтовые клиенты, веб-браузеры и множество других пользовательских или серверных приложений. Злоумышленники могут установить закрепление посредством модификаций двоичных файлов программного обеспечения узла. Например, злоумышленник может заменить или иным образом заразить легитимный двоичный файл приложения (или вспомогательные файлы) бэкдором. Поскольку эти двоичные файлы могут регулярно выполняться приложениями или пользователем, злоумышленник может использовать это для постоянного доступа к узлу. Злоумышленник также может модифицировать двоичный файл программного обеспечения, такой как клиент SSH, чтобы постоянно собирать учетные данные во время входов в систему (см. Изменение процесса аутентификации). Злоумышленник также может модифицировать существующий двоичный файл, внедряя вредоносную функциональность (например, перехват IAT/изменение точки входа) перед легитимным выполнением двоичного файла. Например, злоумышленник может изменить точку входа двоичного файла, чтобы она указывала на вредоносный код, внедренный злоумышленником, перед возобновлением нормального потока выполнения. После модификации двоичного файла злоумышленник может попытаться Нарушить работу средств защиты, предотвращая его обновление (например, с помощью команды `yum-versionlock` или файла `versionlock.list` в системах Linux, использующих менеджер пакетов yum).
Тактики
Закрепление
Платформы
ESXiLinuxmacOSWindows
Меры защиты
Связанные CAPEC
Затронутые уязвимости (выводимые)
CVE-2026-9508Неправильные настройки разрешений на критическом ресурсе в Suprema BioStar 2 (версии 2.9.3-2.9.11), которые позволяют создавать резервные файлы, когда администратор настраивал свой путь в NGINX webroot. Эта уязвимость позволяет злоумышленнику с доступом к сети напрямую загружать резервные файлы ZIP через 'http(s)://[server]/download/...', не требуя аутентификации. Это раскрывает высокочувствительную информацию, которая может привести к олицетворению сервера, несанкционированному доступу к базам данных и боковым перемещению.
CVE-2025-69426Версии прошивки Ruckus vRIoT IoT Controller до 3.0.0.0 (GA) содержат жестко закодированные учетные данные для учетной записи пользователя операционной системы в рамках сценария инициализации. Услуга SSH доступна для сети без ограничений на основе IP. Хотя конфигурация отключила SCP и псевдо-TTY, злоумышленник может аутентифицироваться, используя жесткие учетные данные, и установить локальную переадресацию портов SSH для доступа к розетке Docker. Установив файловую систему хоста через Docker, злоумышленник может вырваться из контейнера и выполнить произвольные команды ОС в качестве корня на базовый контроллер vRIoT, что приведет к полному компенсационному системному управлению.
CVE-2025-14988В ibaPDA была выявлена проблема безопасности, которая может разрешить несанкционированные действия в файловой системе при определенных условиях. Это может повлиять на конфиденциальность, целостность или доступность системы.
CVE-2025-12004Неправильное назначение прав доступа к критическому ресурсу в расширении Lockdown MediaWiki фонда Викимедиа, позволяющее злоупотребление привилегиями. Уязвимость заключается в том, что модуль Action API compare (ApiComparePages) не вызывает authorizeRead('read', $page) и поэтому не проверяет обычные права чтения. В результате любой пользователь с правом «read» может получить содержимое защищённых страниц через запрос api.php?action=compare… [1]. Проблема обнаружена в расширении Lockdown, но фактической причиной является отсутствие проверки в ядре MediaWiki. Исправление реализовано в ядре MediaWiki (Action API) и включает вызов authorizeRead, а также аналогичная проверка выполнена в REST‑endpoint CompareHandler [2]. Патч был применён к веткам REL1_42, REL1_43, REL1_44 и master (см. Gerrit).\nИсточники:\n- [1] https://phabricator.wikimedia.org/T397521\n- [2] https://gerrit.wikimedia.org/r/q/Id275382743957004fa7fc56318fc104d8e2d267b
CVE-2021-38503Правила песочницы iframe были применены неправильно к таблицам стилей XSLT, что позволило iframe обходить ограничения, такие как выполнение сценариев или навигация по фрейму верхнего уровня. Эта уязвимость затрагивает Firefox < 94, Thunderbird < 91.3 и Firefox ESR < 91.3.
CVE-2014-125121Устройства Array Networks vAPV (версия 8.3.2.17) и vxAG (версия 9.2.0.34) уязвимы для повышения привилегий из-за наличия жёстко заданных учётных данных SSH. Злоумышленник может воспользоваться этой уязвимостью, чтобы получить доступ к системе с повышенными привилегиями [1].
Источники:
- [1] https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/unix/ssh/array_vxag_vapv_privkey_privesc.rb
- [2] https://packetstorm.news/files/id/125761
- [3] https://www.exploit-db.com/exploits/32440
- [4] https://www.vulncheck.com/advisories/array-networks-vapv-vxag-default-credential-privilege-escalation
CVE-2025-49131FastGPT - это открытый проект, предоставляющий платформу для создания и развертывания AI-ориентированных рабочих процессов и conversational agents. Контейнер Sandbox (fastgpt-sandbox) до версии 4.9.11 имел недостаточную изоляцию и неадекватные ограничения на выполнение кода, что позволяло злоумышленникам обойти границы предполагаемой песочницы. Атакующие могли читать и перезаписывать произвольные файлы и обходить ограничения импорта модулей Python. Проблема исправлена в версии 4.9.11 путем ограничения разрешенных системных вызовов до более безопасного подмножества и добавления более информативных сообщений об ошибках [1].
Примеры эксплуатации включают чтение произвольных файлов и перезапись файлов, что может привести к сбою системы [1].
Источники:
- [1] https://github.com/labring/FastGPT/security/advisories/GHSA-f3pf-r3g7-g895
- [2] https://github.com/labring/FastGPT/pull/4958
- [3] https://github.com/labring/FastGPT/commit/bb810a43a1c70683fab7f5fe993771e930a94426
- [4] https://github.com/labring/FastGPT/pkgs/container/fastgpt-sandbox
- [5] https://github.com/labring/FastGPT/releases/tag/v4.9.11
CVE-2024-5618Некорректное назначение разрешений для уязвимости критических ресурсов в PruvaSoft Informatics Apinizer Management Console позволяет получить доступ к функциональности, не ограниченной должным образом ACL. Эта проблема затрагивает Apinizer Management Console: до 2024.05.1.
CVE-2023-40622SAP BusinessObjects Business Intelligence Platform (Управление продвижением) - версии 420, 430, при определенных условиях позволяет аутентифицированному злоумышленнику просматривать конфиденциальную информацию, доступ к которой в противном случае ограничен. В случае успешной эксплуатации злоумышленник может полностью скомпрометировать приложение, что оказывает сильное влияние на конфиденциальность, целостность и доступность.
CVE-2022-28802Code by Zapier до 2022-08-17 допускал повышение привилегий внутри учетной записи, которое включало выполнение кода Python или JavaScript. Другими словами, Code by Zapier предоставлял управляемую клиентом виртуальную машину общего назначения, которая непреднамеренно предоставляла полный доступ всем пользователям учетной записи компании, но должна была обеспечивать контроль доступа на основе ролей внутри учетной записи этой компании. До 2022-08-17 клиент мог решить эту проблему, (по сути) используя отдельную виртуальную машину для приложения, которое содержало учетные данные - или другие секреты, - которые не должны были передаваться всем его сотрудникам. (Для работы этих независимых виртуальных машин потребовалось бы несколько учетных записей.)
CVE-2021-33509Plone до версии 5.2.4 позволяет удаленным аутентифицированным менеджерам выполнять операции ввода-вывода на диске через специально созданные аргументы ключевых слов для преобразования ReStructuredText в скрипте Python.
CVE-2017-1000502Пользователи с разрешением на создание или настройку агентов в Jenkins 1.37 и более ранних версиях могли настроить EC2-агент для выполнения произвольных команд оболочки на главном узле всякий раз, когда агент должен был быть запущен. Теперь для настройки этих агентов требуется разрешение 'Run Scripts', которое обычно предоставляется только администраторам.
CVE-2026-34352В TigerVNC до 1.16.2 Image.cxx в x0vncserver позволяет другим пользователям наблюдать или манипулировать содержимым экрана или вызывать сбой приложения из-за неправильных разрешений.
CVE-2025-8042Firefox для Android позволил использовать франику с песочником без атрибута «разрешить загрузку» для начала загрузки. Эта уязвимость была исправлена в Firefox 141.
CVE-2025-45150LangChain-ChatGLM-Webui коммита ef829 содержит уязвимость небезопасных разрешений, позволяющую злоумышленникам произвольно просматривать и загружать конфиденциальные файлы путем отправки специально созданного запроса [1].
Дополнительная информация:
Злоумышленник может манипулировать путем URL в запросе на скачивание, чтобы получить доступ и скачать любой файл в каталоге агента, например, config.py [1].
Источники:
- [1] https://github.com/X-D-Lab/LangChain-ChatGLM-Webui
- [2] http://langchain-chatglm-webui.com
- [3] https://gist.github.com/ycshao12/69a48551cc6c9cc69153d137afe9ecef
Совпадений нет — уточните фильтр.