T1647Enterprise
Изменение файла Plist
Злоумышленники могут изменять файлы списка свойств (файлы plist), чтобы включить другую вредоносную активность, а также потенциально уклоняться и обходить системы защиты. Приложения macOS используют файлы plist, такие как файл info.plist, для хранения свойств и параметров конфигурации, которые сообщают операционной системе, как обрабатывать приложение во время выполнения. Файлы plist представляют собой структурированные метаданные в парах ключ-значение, отформатированные в XML на основе Core Foundation DTD от Apple. Файлы plist могут быть сохранены в текстовом или двоичном формате.
Злоумышленники могут изменять пары ключ-значение в файлах plist, чтобы влиять на поведение системы, например, скрывать выполнение приложения (т.е. Скрытое окно) или запускать дополнительные команды для закрепления (например: Агент запуска/Демон запуска или Повторно открытые приложения).
Например, злоумышленники могут добавить путь к вредоносному приложению в файл `~/Library/Preferences/com.apple.dock.plist`, который управляет приложениями, отображаемыми в Dock. Злоумышленники также могут изменить ключ LSUIElement в файле info.plist приложения, чтобы запустить приложение в фоновом режиме. Злоумышленники также могут вставлять пары ключ-значение для вставки переменных окружения, таких как LSEnvironment, чтобы обеспечить закрепление через Перехват динамического компоновщика.
Тактики
Ослабление защиты
Платформы
macOS
Связанные CAPEC
Затронутые уязвимости (выводимые)
CVE-2024-4326Уязвимость в parisneo/lollms-webui версий до 9.3 позволяет удаленным злоумышленникам выполнять произвольный код. Уязвимость связана с недостаточной защитой конечных точек `/apply_settings` и `/execute_code`. Злоумышленники могут обойти защиту, установив хост на localhost, включив выполнение кода и отключив проверку кода через конечную точку `/apply_settings`. Впоследствии произвольные команды могут выполняться удаленно через конечную точку `/execute_code`, используя задержку в применении настроек. Эта проблема была решена в версии 9.5.
CVE-2023-50252php-svg-lib — это библиотека для разбора/рендеринга SVG-файлов. До версии 0.5.1, при обработке тега `<use>`, который ссылается на тег `<image>`, он объединяет атрибуты из тега `<use>` с тегом `<image>`. Проблема возникает особенно тогда, когда атрибут `href` из тега `<use>` не был очищен. Это может привести к небезопасному чтению файла, что может вызвать уязвимость десериализации PHAR в PHP до версии 8. Версия 0.5.1 содержит исправление для этой проблемы.
CVE-2024-39602Уязвимость внешнего управления конфигурацией существует в nas.cgi set_nas() функциональности Wavlink AC3000 M33A8.V5030.210505. Специально созданный HTTP-запрос может привести к произвольному выполнению команд. Злоумышленник может выполнить аутентифицированный HTTP-запрос для вызова этой уязвимости.
CVE-2024-39280В функциональности nas.cgi set_smb_cfg() Wavlink AC3000 M33A8.V5030.210505 существует уязвимость внешнего контроля конфигурации. Специально созданный HTTP-запрос может привести к произвольному выполнению команд. Злоумышленник может выполнить аутентифицированный HTTP-запрос для запуска этой уязвимости.
CVE-2024-38666В openvpn.cgi openvpn_client_setup() функциональности Wavlink AC3000 M33A8.V5030.210505 существует уязвимость внешнего контроля конфигурации. Специально созданный HTTP-запрос может привести к произвольному выполнению команд. Злоумышленник может сделать аутентифицированный HTTP-запрос, чтобы вызвать эту уязвимость.
CVE-2021-38453Некоторые функции API позволяют взаимодействовать с реестром, что включает в себя чтение значений, а также изменение данных.
CVE-2025-27889В Wing FTP Server до версии 7.4.4 обнаружена уязвимость, связанная с внедрением произвольной ссылки в параметр 'url' на странице 'downloadpass.html'. Это может привести к раскрытию пароля пользователя. Для устранения рекомендуется обновиться до версии 7.4.4 или выше [1].
Источники:
- [1] https://www.wftpserver.com/wftpserver.htm
CVE-2024-51544Уязвимости Service Control позволяют получить доступ к запросам на перезапуск сервиса и настройкам конфигурации виртуальной машины. Затронутые продукты: ABB ASPECT - Enterprise v3.08.02; NEXUS Series v3.08.02; MATRIX Series v3.08.02.
CVE-2024-51543Уязвимости Information Disclosure позволяют получить доступ к информации о конфигурации приложения. Затронутые продукты: ABB ASPECT - Enterprise v3.08.02; NEXUS Series v3.08.02; MATRIX Series v3.08.02.
CVE-2024-10979Некорректный контроль переменных окружения в PostgreSQL PL/Perl позволяет непривилегированному пользователю базы данных изменять важные переменные окружения процесса (например, PATH). Этого часто достаточно для выполнения произвольного кода, даже если у злоумышленника нет пользователя операционной системы сервера базы данных. Уязвимы версии до PostgreSQL 17.1, 16.5, 15.9, 14.14, 13.17 и 12.21.
CVE-2023-46248Cody - это помощник по кодированию с использованием искусственного интеллекта (AI). Расширение Cody AI VSCode версий 0.10.0–0.14.0 уязвимо для удаленного выполнения кода при определенных условиях. Злоумышленник, контролирующий вредоносный репозиторий, может изменить файл конфигурации Cody `.vscode/cody.json` и перезаписать команды Cody. Если пользователь с установленным расширением открывает этот вредоносный репозиторий и выполняет команду Cody, такую как /explain или /doc, это может позволить произвольное выполнение кода на компьютере пользователя. Уязвимость оценивается как критическая, но с низкой степенью использования. Требуется, чтобы у пользователя был загружен вредоносный репозиторий и выполнена перезаписанная команда в VS Code. Проблема может быть использована независимо от того, блокирует ли пользователь выполнение кода в репозитории через доверие рабочей области VS Code. Проблема была обнаружена во время обычного стороннего теста на проникновение. У сопровождающих Cody нет доказательств наличия в репозиториях с открытым исходным кодом вредоносных файлов `.vscode/cody.json` для использования этой уязвимости. Проблема исправлена в версии 0.14.1 расширения Cody VSCode. Если пользователи не могут быстро выполнить обновление, им не следует открывать какие-либо ненадежные репозитории с загруженным расширением Cody.
CVE-2023-3321Существует уязвимость, позволяющая пользователям с низкими привилегиями читать и обновлять данные в различных каталогах, используемых системой Zenon. Злоумышленник может воспользоваться уязвимостью, используя специально разработанные программы для эксплуатации уязвимостей, позволяя им запускаться на хостах, где установлен zenon. Эта проблема затрагивает ABB Ability™ zenon: с 11 сборки по 11 сборку 106404.
CVE-2023-32349Версия 00.07.03.4 и более ранние версии прошивки маршрутизатора RUT от Teltonika содержат утилиту дампа пакетов, которая содержит надлежащую проверку параметров фильтра. Однако переменные для проверок валидации хранятся во внешнем файле конфигурации. Аутентифицированный злоумышленник может использовать раскрытую утилиту конфигурации UCI для изменения этих переменных и включения вредоносных параметров в утилите дампа, что может привести к произвольному выполнению кода.
CVE-2021-27406Злоумышленник может использовать PerFact OpenVPN-Client версий 1.4.1.0 и более ранних, чтобы отправить команду config из любого приложения, работающего на локальной хост-машине, чтобы заставить серверную часть инициализировать новый экземпляр open-VPN с произвольной конфигурацией open-VPN. Это может привести к тому, что злоумышленник получит возможность выполнения с привилегиями пользователя SYSTEM.
CVE-2025-0425Через GUI "bestinformed Infoclient" пользователь с низкими полномочиями по умолчанию может изменить адрес сервера "bestinformed Server", к которому подключается этот клиент. Это опасно, так как "bestinformed Infoclient" работает с повышенными правами ('nt authority\system'). Изменив адрес сервера на злонамеренный сервер или скрипт, имитирующий сервер, пользователь может повысить свои привилегии, злоупотребив определенными функциями сервера "bestinformed Web". Эти функции включают:
* Разглашение злонамеренных пакетов обновления
* Произвольное чтение реестра как 'nt authority\system'
Злоумышленник может повысить свои привилегии до 'nt authority\system' на клиенте Windows, работающем с "bestinformed Infoclient".
Эта атака невозможна, если развернута пользовательская конфигурация ("Infoclient.ini"), содержащая флаги "ShowOnTaskbar=false" или "DisabledItems=stPort,stAddress".
Совпадений нет — уточните фильтр.