T1563Enterprise
Перехват сеанса удаленной службы
Злоумышленники могут захватывать контроль над уже существующими сеансами с удаленными службами для перемещения внутри периметра среды. Пользователи могут использовать действительные учетные данные для входа в службу, специально разработанную для приема удаленных соединений, таких как telnet, SSH и RDP. Когда пользователь входит в службу, устанавливается сеанс, который позволяет ему поддерживать непрерывное взаимодействие с этой службой. Злоумышленники могут захватывать эти сеансы для выполнения действий в удаленных системах. Перехват сеанса удаленной службы отличается от использования удаленных служб тем, что он захватывает существующий сеанс, а не создает новый сеанс с использованием действительных учетных записей.
Тактики
Перемещение внутри периметра
Платформы
LinuxmacOSWindows
Меры защиты
Связанные CAPEC
Затронутые уязвимости (выводимые)
CVE-2026-23600A remote authentication bypass vulnerability
exists in HPE AutoPass License Server (APLS).
CVE-2026-22236The vulnerability exists in BLUVOYIX due to improper authentication in the BLUVOYIX backend APIs. An unauthenticated remote attacker could exploit this vulnerability by sending specially crafted HTTP requests to the vulnerable APIs. Successful exploitation of this vulnerability could allow the attacker to gain full access to customers' data and completely compromise the targeted platform.
CVE-2026-20127Обход безопасности в Cisco Catalyst SD-WAN Controller
CVE-2025-9265A broken authorization vulnerability in Kiloview NDI N30 allows a remote unauthenticated attacker to deactivate user verification, giving them access to state changing actions that should only be initiated by administratorsThis issue affects
Kiloview NDI N30
and was fixed in Firmware version later than 2.02.0246
CVE-2025-63224The Itel DAB Encoder (IDEnc build 25aec8d) is vulnerable to Authentication Bypass due to improper JWT validation across devices. Attackers can reuse a valid JWT token obtained from one device to authenticate and gain administrative access to any other device running the same firmware, even if the passwords and networks are different. This allows full compromise of affected devices.
CVE-2025-63216The Itel DAB Gateway (IDGat build c041640a) is vulnerable to Authentication Bypass due to improper JWT validation across devices. Attackers can reuse a valid JWT token obtained from one device to authenticate and gain administrative access to any other device running the same firmware, even if the passwords and networks are different. This allows full compromise of affected devices.
CVE-2025-5597В WF Steuerungstechnik GmbH airleader MASTER обнаружена уязвимость Improper Authentication, позволяющая обойти аутентификацию. Это затрагивает airleader MASTER версии 3.00571 [1].
Источники:
- [1] https://github.com/migros/migros-security-advisories/blob/main/advisories/msec-2025-003_wf-seuerungstechnik-gmbh_airleader-master_authentication-bypass.md
CVE-2025-54419A SAML library not dependent on any frameworks that runs in Node. In version 5.0.1, Node-SAML loads the assertion from the (unsigned) original response document. This is different than the parts that are verified when checking signature. This allows an attacker to modify authentication details within a valid SAML assertion. For example, in one attack it is possible to remove any character from the SAML assertion username. To conduct the attack an attacker would need a validly signed document from the identity provider (IdP). This is fixed in version 5.1.0.
CVE-2025-52572Hikka, a Telegram userbot, has vulnerability affects all users on all versions of Hikka. Two scenarios are possible. 1. Web interface does not have an authenticated session: attacker can use his own Telegram account to gain RCE to the server by authorizing in the dangling web interface. 2. Web interface does have an authenticated session: due to insufficient warning in the authentication message, users were tempted to click "Allow" in the "Allow web application ops" menu. This gave an attacker access not only to remote code execution, but also to Telegram accounts of owners. Scenario number 2 is known to have been exploited in the wild. No known patches are available, but some workarounds are available. Use `--no-web` flag and do not start userbot without it; after authorizing in the web interface, close the port on the server and/or start the userbot with `--no-web` flag; and do not click "Allow" in your helper bot unless it is your explicit action that needs to be allowed.
CVE-2025-44005An attacker can bypass authorization checks and force a Step CA ACME or SCEP provisioner to create certificates without completing certain protocol authorization checks.
CVE-2025-32975Quest KACE Systems Management Appliance (SMA) 13.0.x before 13.0.385, 13.1.x before 13.1.81, 13.2.x before 13.2.183, 14.0.x before 14.0.341 (Patch 5), and 14.1.x before 14.1.101 (Patch 4) contains an authentication bypass vulnerability that allows attackers to impersonate legitimate users without valid credentials. The vulnerability exists in the SSO authentication handling mechanism and can lead to complete administrative takeover.
CVE-2025-15586OGP-Website installs prior git commit 52f865a4fba763594453068acf8fa9e3fc38d663 are affected by a type juggling flaw which if exploited can result in authentication bypass without knowledge of the victim account's password.
CVE-2024-11186Уязвимость в Arista CloudVision Portal, связанная с неправильным контролем доступа, позволяет злоумышленнику с ограниченными правами выполнять более широкие действия на управляемых устройствах EOS, чем предполагалось [1].
Проблема затрагивает локальные установки CloudVision Portal и не влияет на CloudVision as-a-Service.
Для устранения уязвимости рекомендуется обновить CloudVision Portal до исправленной версии: 2025.1.0 или более поздней.
В качестве обходного пути можно добавить правило в конфигурацию nginx, чтобы блокировать доступ к уязвимым конечным точкам API [1].
Источники:
- [1] https://www.arista.com/en/support/advisories-notices/security-advisory/21314-security-advisory-0114
CVE-2023-27482homeassistant — это инструмент автоматизации дома с открытым исходным кодом. Обнаружена удаленно используемая уязвимость, позволяющая обходить аутентификацию для доступа к API Supervisor через Home Assistant. Это влияет на все типы установки Home Assistant, использующие Supervisor 2023.01.1 или более старую версию. Типы установки, такие как Home Assistant Container (например, Docker) или Home Assistant Core вручную в среде Python, не затрагиваются. Проблема была решена и закрыта в Supervisor версии 2023.03.1, которая была развернута во всех затронутых установках с помощью функции автоматического обновления Supervisor. Это развертывание было завершено на момент публикации этого отчета. Home Assistant Core 2023.3.0 включает меры по устранению этой уязвимости. Таким образом, рекомендуется обновиться как минимум до этой версии. Если в настоящее время невозможно обновить Home Assistant Supervisor или приложение Home Assistant Core, рекомендуется не предоставлять экземпляр Home Assistant в Интернет.
CVE-2021-39296В OpenBMC 2.9, специально созданные сообщения IPMI позволяют злоумышленнику обойти аутентификацию и получить полный контроль над системой.
Совпадений нет — уточните фильтр.