V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
T1557Enterprise
Матрица: Enterprise
Статус: Активная
STIX: 19.0
Источник ↗

Атака посредника

Злоумышленники могут попытаться разместиться между двумя или более сетевыми устройствами, используя технику атаки посредника (AiTM) для поддержки последующих действий, таких как перехват сетевого трафика, манипулирование передаваемыми данными или атаки повторного воспроизведения (эксплуатация для получения доступа к учетным данным). Используя функции распространенных сетевых протоколов, которые могут определять поток сетевого трафика (например, ARP, DNS, LLMNR и т. д.), злоумышленники могут заставить устройство взаимодействовать через контролируемую злоумышленником систему, чтобы они могли собирать информацию или выполнять дополнительные действия. Например, злоумышленники могут манипулировать настройками DNS жертвы, чтобы обеспечить другие вредоносные действия, такие как предотвращение/перенаправление пользователей от доступа к легитимным сайтам и/или распространение дополнительного вредоносного ПО. Злоумышленники также могут манипулировать DNS и использовать свое положение для перехвата учетных данных пользователей, включая токены доступа (кража токена доступа к приложению) и файлы cookie сеанса (кража файлов cookie веб-сеанса). Атаки понижения версии также могут использоваться для установления позиции AiTM, например, путем согласования менее безопасной, устаревшей или более слабой версии протокола связи (SSL/TLS) или алгоритма шифрования. Злоумышленники также могут использовать позицию AiTM для попытки мониторинга и/или изменения трафика, например, при манипулировании передаваемыми данными. Злоумышленники могут настроить позицию, аналогичную AiTM, для предотвращения поступления трафика в соответствующее назначение, потенциально для нарушения работы средств защиты и/или в поддержку сетевого отказа в обслуживании.

Тактики

Сбор данныхПолучение учетных данных

Подтехники

T1557.001
Отравление LLMNR/NBT-NS и ретрансляция SMB
T1557.002
Отравление кеша ARP
T1557.003
Спуфинг DHCP
T1557.004
Злой двойник

Платформы

LinuxmacOSNetwork DevicesWindows

Меры защиты

M1017
Обучение пользователей
M1030
Сегментация сети
M1031
Предотвращение вторжений в сети
M1035
Ограничение доступа к ресурсам по сети
M1037
Фильтрация сетевого трафика
M1041
Шифрование чувствительных данных
M1042
Отключение или удаление компонентов и программ
Открыть в каталоге с фильтром ATT&CK →

Связанные CAPEC

CAPEC-94
Атака «противник посередине» (AiTM)

Затронутые уязвимости (выводимые)

CVE-2026-6213Уязвимость в Remote SparkSingSer перед сборкой 1122 позволяет злоумышленнику обойти проверку локального соединения и добиться произвольного выполнения кода в качестве корня на стороне сервера. В зависимости от реализации уязвимость может быть использована неаутентифицированным злоумышленником.
CVE-2026-49197Веб-конечные точки, предназначенные для приложения Acer Connect, неправильно проверяют заголовок HTTP Authorization, не блокируя запросы при декодировании Base64.
CVE-2026-42869SOCFortress CoPilot фокусируется на предоставлении одной стеклянной панели для всех ваших потребностей в области безопасности. До 0,1.57 SOCFortress CoPilot поставляет секретную подпись JWT с жесткой кодировкой в качестве резервного значения в backend/app/auth/utils.py:28 и поставляет его дословно в .env.example. Любое развертывание, в котором JWT_SECRET явно не установлено, включая настройку Docker Compose по умолчанию, подписывает все токены аутентификации с этой публично известной ценностью. Неаутентифицированный злоумышленник может подделать произвольные JWT, полученные от администрирования, и получить полный контроль над приложением и каждым инструментом безопасности, который он выполняет, без каких-либо учетных данных. Эта уязвимость зафиксирована в пункте 0.1.57.
CVE-2026-42822Неправильная аутентификация в Azure Local Disconnected Operations позволяет неавторизованному злоумышленнику повысить привилегии по сети.
CVE-2026-41679Paperclip - это сервер Node.js и React UI, который организует команду агентов ИИ для ведения бизнеса. До версии 2026.416.0 неаутентифицированный злоумышленник может добиться полного удаленного выполнения кода на любом доступном в сети экземпляре Paperclip, работающем в режиме "аутентифицированный" с конфигурацией по умолчанию. Никакого взаимодействия с пользователем, никаких учетных данных, только адрес цели. Цепочка состоит из шести звонков API. Атака полностью автоматизирована, не требует взаимодействия с пользователем и работает в соответствии с конфигурацией развертывания по умолчанию. Версия 2026.416.0 исправляет проблему.
CVE-2026-41070openvpn-auth-oauth2 - это клиент интерфейса плагина/управления для сервера OpenVPN для обработки одноразовых потоков (SSO) на основе OIDC. От версии 1.26.3 до версии 1.27.3, когда openvn-auth-outh2 развертывается в экспериментальном режиме плагина (общая библиотека, загруженная OpenVPN через директиву плагина), клиенты, которые не поддерживают WebAuth/SSO (например, openvn CLI в Linux), неправильно допускаются в VPN, несмотря на отказ в логике аутентификации. Режим управления-интерфейс по умолчанию не затрагивается, поскольку он не использует механизм обратного кода плагина OpenVPN. Этот вопрос был исправлен в версии 1.27.3.
CVE-2026-30836Step CA - это онлайн-сертификатор для безопасного, автоматизированного управления сертификатами для DevOps. Версии 0.30.0-rc6 и ниже не защищают от неаутентованной выдачи сертификатов через SCEP UpdateReq. Эта проблема исправлена в версии 0.30.0.
CVE-2026-23600Удаленная уязвимость обхода аутентификации  Существует в HPE AutoPass License Server (APLS).
CVE-2026-22236Уязвимость существует в BLUVOYIX из-за неправильной аутентификации в бэкэнд-ипритом BLUVOYIX. Неаутентифицированный удаленный злоумышленник может использовать эту уязвимость, отправляя специально созданные HTTP-запросы на уязвимые API. Успешная эксплуатация этой уязвимости может позволить злоумышленнику получить полный доступ к данным клиентов и полностью скомпрометировать целевую платформу.
CVE-2026-20182Обход безопасности в Catalyst SD-WAN Manager
CVE-2026-20127Обход безопасности в Cisco Catalyst SD-WAN Controller
CVE-2025-9265Сломанная уязвимость авторизации в Kiloview NDI N30 позволяет удаленному без аутентификации злоумышленника деактивировать проверку пользователей, предоставляя им доступ к действиям по изменению состояния, которые должны быть инициированы только администраторами. Киловью NDI N30 и был исправлен в версии прошивки позже 2,02.0246
CVE-2025-63224Кодировщик Itel DAB (сборка IDEnc 25aec8d) уязвим для обхода аутентификации из-за неправильной проверки JWT на разных устройствах. Злоумышленники могут повторно использовать действительный токен JWT, полученный с одного устройства, для аутентификации и получения административного доступа к любому другому устройству, работающего с тем же прошивкой, даже если пароли и сети отличаются. Это позволяет полностью компрометировать затронутые устройства.
CVE-2025-63216Шлюз Itel DAB (сборка IGat c041640a) уязвим для обхода аутентификации из-за неправильной проверки JWT на разных устройствах. Злоумышленники могут повторно использовать действительный токен JWT, полученный с одного устройства, для аутентификации и получения административного доступа к любому другому устройству под управлением того же прошивки, даже если пароли и сети отличаются. Это позволяет полностью компрометировать затронутые устройства.
CVE-2025-5597В WF Steuerungstechnik GmbH airleader MASTER обнаружена уязвимость Improper Authentication, позволяющая обойти аутентификацию. Это затрагивает airleader MASTER версии 3.00571 [1]. Источники: - [1] https://github.com/migros/migros-security-advisories/blob/main/advisories/msec-2025-003_wf-seuerungstechnik-gmbh_airleader-master_authentication-bypass.md
Открыть на attack.mitre.org ↗
Совпадений нет — уточните фильтр.