Moby - это фреймворк с открытым исходным кодом для контейнеров, разработанный компанией Docker Inc., который распространяется в качестве Do…
Moby - это фреймворк с открытым исходным кодом для контейнеров, разработанный компанией Docker Inc., который распространяется в качестве Docker, Mirantis Container Runtime и различных других проектов/продуктов. Компонент демона Moby (`dockerd`), который разрабатывается как moby/moby, обычно называется *Docker*. Режим Swarm, который встроен и предоставляется по умолчанию в `dockerd` и, следовательно, присутствует в большинстве крупных Moby, является простым встроенным оркестратором контейнеров, который реализован с помощью комбинации SwarmKit и поддерживающего сетевого кода. Драйвер сетевого оверлей является основной функцией режима Swarm, предоставляя изолированные виртуальные локальные сети (VLAN), которые позволяют обмениваться данными между контейнерами и службами по кластеру. Этот драйвер является реализацией/пользователем VXLAN, который инкапсулирует кадры на уровне канала (Ethernet) в UDP дейтаграммах, которые помечают кадр метаданными VXLAN, включая идентификатор сети VXLAN (VNI), который идентифицирует исходную оверлейную сеть. Кроме того, драйвер сетевого оверлей поддерживает необязательный режим шифрования по умолчанию, который особенно полезен, когда пакеты VXLAN пересекают ненадёжную сеть между узлами. Зашифрованные оверлейные сети функционируют, инкапсулируя дейтаграммы VXLAN с помощью протокола IPsec Encapsulating Security Payload в транспортном режиме. Путём развертывания инкапсуляции IPSec зашифрованные оверлейные сети приобретают дополнительные свойства аутентификации источника через криптографические доказательства, целостности данных через контрольные суммы и конфиденциальности через шифрование. При настройке конечной точки в зашифрованной оверлейной сети Moby устанавливает три правила iptables (файервол Linux kernel), которые обеспечивают как входящий, так и исходящий IPSec. Эти правила полагаются на расширение iptables u32, предоставляемое модулем ядра xt_u32, чтобы напрямую фильтровать поле VNI пакета VXLAN, таким образом, гарантии IPSec могут быть обеспечены на зашифрованных оверлейных сетях без вмешательства в другие оверлейные сети или других пользователей VXLAN. Правило iptables указывает исходящие дейтаграммы VXLAN с VNI, которые соответствуют зашифрованной оверлейной сети, для инкапсуляции IPsec. Зашифрованные оверлейные сети на затронутых платформах тихо передают незашифрованные данные. В результате, сети `overlay` могут казаться функциональными, пропуская трафик, как ожидалось, но без каких-либо ожидаемых гарантий конфиденциальности или целостности данных. Злоумышленник, сидящий в надежном положении в сети, может считывать весь трафик приложения, который проходит через зашифрованную оверлейную сеть, что приводит к неожиданному раскрытию секретов или пользовательских данных. Таким образом, поскольку многие протоколы баз данных, внутренние API и т. д. не защищены вторым уровнем шифрования, пользователь может использовать зашифрованные оверлейные сети Swarm для обеспечения конфиденциальности, что из-за этой уязвимости больше не гарантируется. Патчи доступны в выпусках Moby 23.0.3 и 20.10.24. Поскольку номера версий Mirantis Container Runtime 20.10 обозначены иначе, пользователи этой платформы должны обновиться к 20.10.16. Некоторые обходные решения доступны. Закройте порт VXLAN (по умолчанию UDP порт 4789) для исходящего трафика на интернет-границе, чтобы предотвратить незапланированную утечку незашифрованного трафика через интернет, и/или убедитесь, что модуль ядра xt_u32 доступен на всех узлах кластера Swarm.
Продукт раскрывает конфиденциальную информацию субъекту, которому явно не предоставлен доступ к этой информации.
https://cwe.mitre.org/data/definitions/200.html →Открыть в коллекции CWE →Продукт не шифрует конфиденциальные или критически важные данные перед их сохранением или передачей.
https://cwe.mitre.org/data/definitions/311.html →Открыть в коллекции CWE →Злоумышленник прямо или косвенно изменяет переменные окружения, используемые целевым программным обеспечением или управляющие им. Цель злоумышленника состоит в том, чтобы заставить целевое программное обеспечение отклониться от ожидаемого поведения способом, выгодным злоумышленнику.
https://capec.mitre.org/data/definitions/13.html →Открыть в коллекции CAPEC →Атака данного типа эксплуатирует уязвимости в аутентификации канала взаимодействия клиент/сервер и целостности данных. Она использует неявное доверие, которое сервер оказывает клиенту, или, что важнее, тому, кого сервер считает клиентом. Злоумышленник реализует данный тип атаки, взаимодействуя напрямую с сервером, который при этом полагает, что общается только с действительным клиентом. Существует множество разновидностей данного типа атак.
https://capec.mitre.org/data/definitions/22.html →Открыть в коллекции CAPEC →Данная атака основана на использовании HTTP-cookie для хранения учётных данных, сведений о состоянии и других критически важных данных в клиентских системах. Существует несколько различных форм этой атаки. Первая форма предполагает доступ к HTTP-cookie с целью извлечения потенциально конфиденциальных данных, содержащихся в них. Вторая форма — перехват этих данных при их передаче от клиента к серверу. Перехваченная информация затем используется злоумышленником для имитации удалённого пользователя/сессии. Третья форма — модификация содержимого cookie злоумышленником перед его отправкой обратно серверу. В этом случае злоумышленник стремится убедить целевой сервер работать на основе этих фальсифицированных данных.
https://capec.mitre.org/data/definitions/31.html →Открыть в коллекции CAPEC →Злоумышленник исследует целевую систему для поиска конфиденциальных данных, встроенных в неё. Эта информация может раскрывать конфиденциальные сведения, такие как номера счетов или отдельные ключи/учётные данные, которые могут использоваться в качестве промежуточного шага в более масштабной атаке.
https://capec.mitre.org/data/definitions/37.html →Открыть в коллекции CAPEC →Данная атака направлена на предсказуемые идентификаторы сеанса с целью получения привилегий. Злоумышленник может предсказать идентификатор сеанса, используемый во время транзакции, и применить его для подделки личности и перехвата сеанса.
https://capec.mitre.org/data/definitions/59.html →Открыть в коллекции CAPEC →Данная атака направлена на повторное использование действительного идентификатора сеанса для подделки личности в целевой системе и получения привилегий. Злоумышленник пытается повторно использовать похищенный идентификатор сеанса, применявшийся ранее в транзакции, для подделки личности и перехвата сеанса. Другое название этого типа атаки — воспроизведение сеанса.
https://capec.mitre.org/data/definitions/60.html →Открыть в коллекции CAPEC →Злоумышленник пассивно перехватывает сетевые коммуникации и захватывает код приложения, предназначенный для авторизованного клиента. Получив его, злоумышленник может использовать его в исходном виде или путём обратной разработки извлечь конфиденциальную информацию либо воспользоваться отношениями доверия между клиентом и сервером. Такой код может относиться к динамическому обновлению клиента, устанавливаемому патчу или любому другому взаимодействию, при котором клиент авторизован для связи с сервером.
https://capec.mitre.org/data/definitions/65.html →Открыть в коллекции CAPEC →Данная атака направлена на кодирование символов слеша. Злоумышленник пытается эксплуатировать распространённые проблемы фильтрации, связанные с использованием символов слеша, для получения доступа к ресурсам на целевом хосте. Системы на основе каталогов, такие как файловые системы и базы данных, как правило, используют символ слеша для обозначения перехода между каталогами или другими контейнерными компонентами. По неоднозначным историческим причинам ПК (и, как следствие, ОС Microsoft) используют обратный слеш, тогда как мир UNIX традиционно применяет прямой слеш. Шизофренический результат таков, что многие MS-системы обязаны понимать обе формы слеша. Это предоставляет злоумышленнику множество возможностей для обнаружения и использования распространённых проблем фильтрации. Цель данного шаблона — обнаружить серверное программное обеспечение, применяющее фильтры только к одному варианту, но не другому.
https://capec.mitre.org/data/definitions/79.html →Открыть в коллекции CAPEC →Злоумышленник активно зондирует цель способами, направленными на получение информации, которая могла бы быть использована в вредоносных целях.
https://capec.mitre.org/data/definitions/116.html →Открыть в коллекции CAPEC →В данном шаблоне атаки злоумышленник перехватывает информацию, передаваемую между двумя сторонними участниками. Злоумышленник должен иметь возможность наблюдать, читать и/или слышать трафик, не обязательно блокируя коммуникации или изменяя их содержимое. Любой физический носитель теоретически может быть прослушан, если злоумышленник способен исследовать содержимое между отправителем и получателем. Атаки прослушивания схожи с атаками «злоумышленник посередине» (CAPEC-94), однако носят полностью пассивный характер. Атаки AiTM преимущественно активны и нередко изменяют само содержимое коммуникаций.
https://capec.mitre.org/data/definitions/157.html →Открыть в коллекции CAPEC →В данном шаблоне атаки злоумышленник отслеживает сетевой трафик между узлами общедоступной или многоадресной сети с целью перехвата конфиденциальной информации на уровне протокола. Приложения для прослушивания сети позволяют получить информацию TCP/IP, DNS, Ethernet и другие сведения об обмене данными на низком уровне сети. Злоумышленник занимает пассивную роль в данном шаблоне атаки, просто наблюдая и анализируя трафик. Злоумышленник может инициировать или косвенно влиять на содержимое наблюдаемой транзакции, однако никогда не является предполагаемым получателем целевой информации.
https://capec.mitre.org/data/definitions/158.html →Открыть в коллекции CAPEC →Злоумышленник проводит зондирование и разведку для идентификации компонентов и свойств цели.
https://capec.mitre.org/data/definitions/169.html →Открыть в коллекции CAPEC →Злоумышленник исследует кэш целевого приложения или кэш браузера на предмет конфиденциальных сведений. Многие приложения, взаимодействующие с удалёнными объектами или выполняющие ресурсоёмкие вычисления, используют кэши для повышения эффективности. Однако если приложение вычисляет или получает конфиденциальную информацию, а кэш должным образом не защищён, злоумышленник может просматривать кэш и извлекать эту информацию. В результате возможно раскрытие конфиденциальных сведений.
https://capec.mitre.org/data/definitions/204.html →Открыть в коллекции CAPEC →Злоумышленник сравнивает вывод целевой системы с известными признаками, однозначно идентифицирующими конкретные характеристики цели. Чаще всего снятие отпечатка выполняется для определения версий операционной системы и приложений. Снятие отпечатка может осуществляться как пассивным, так и активным способом. Сам по себе данный метод, как правило, не наносит ущерба цели. Однако информация, полученная в ходе снятия отпечатка, нередко позволяет злоумышленнику обнаруживать существующие слабости в цели.
https://capec.mitre.org/data/definitions/224.html →Открыть в коллекции CAPEC →Злоумышленник отправляет ICMP-сообщение типа 8 (Echo Request), широко известное как «Ping», чтобы определить, доступна ли целевая система. Если запрос не заблокирован межсетевым экраном или ACL, целевой хост ответит ICMP-датаграммой типа 0 (Echo Reply). Такой обмен обычно называют «Ping» по одноимённой утилите, имеющейся почти во всех операционных системах. Ping, в типичной реализации, позволяет пользователю проверять доступность хостов, измерять время двойного обхода и процент потери пакетов.
https://capec.mitre.org/data/definitions/285.html →Открыть в коллекции CAPEC →Злоумышленник использует SYN-сканирование для определения состояния портов на удалённой цели. SYN-сканирование является наиболее распространённым типом сканирования портов в силу многочисленных преимуществ и малого числа недостатков. В результате начинающие злоумышленники склонны чрезмерно полагаться на SYN-сканирование при выполнении разведки систем. Как метод сканирования, основные преимущества SYN-сканирования — его универсальность и скорость.
https://capec.mitre.org/data/definitions/287.html →Открыть в коллекции CAPEC →Злоумышленник перечисляет MX-записи заданного домена с помощью DNS-запроса. Этот тип сбора информации возвращает имена почтовых серверов в сети. Почтовые серверы нередко не имеют прямого выхода в интернет и располагаются в DMZ сети, защищённой межсетевым экраном. Побочным эффектом такой конфигурации является то, что перечисление MX-записей организации может раскрыть IP-адрес межсетевого экрана или, возможно, других внутренних систем. Злоумышленники нередко прибегают к перечислению MX-записей, когда передача зоны DNS невозможна.
https://capec.mitre.org/data/definitions/290.html →Открыть в коллекции CAPEC →Злоумышленник эксплуатирует ошибку конфигурации DNS, допускающую передачу зоны. Некоторые внешние DNS-серверы возвращают список IP-адресов и действительных имён хостов. При определённых условиях возможно даже получение данных зоны о внутренней сети организации. В случае успеха злоумышленник получает ценные сведения о топологии целевой организации, включая информацию о конкретных серверах, их роли в IT-инфраструктуре и, возможно, об операционных системах, работающих в сети. Такое поведение зависит от конфигурации, поэтому может потребоваться перебор нескольких DNS-серверов в поисках того, на котором разрешена передача зоны.
https://capec.mitre.org/data/definitions/291.html →Открыть в коллекции CAPEC →Злоумышленник отправляет зонд на IP-адрес, чтобы определить, активен ли хост. Обнаружение хостов — одна из первых фаз сетевой разведки. Злоумышленник обычно начинает с диапазона IP-адресов, принадлежащих целевой сети, и использует различные методы для определения наличия хоста по каждому IP-адресу. Обнаружение хостов нередко называют «Ping»-сканированием по аналогии с гидролокатором. Цель — отправить пакет на IP-адрес и получить ответ от хоста. Таким образом, «ping» может быть практически любым сформированным пакетом при условии, что злоумышленник способен идентифицировать активный хост по его ответу. Атака такого рода, как правило, проводится в виде «ping sweep» — отправки определённого вида ping-запросов на диапазон IP-адресов.
https://capec.mitre.org/data/definitions/292.html →Открыть в коллекции CAPEC →Злоумышленник использует утилиту traceroute для построения карты маршрута, по которому данные проходят через сеть до целевого адреса назначения. Трассировка маршрута позволяет злоумышленнику построить рабочую топологию систем и маршрутизаторов, перечислив системы, через которые проходят данные на пути к целевому компьютеру. Данная атака может возвращать различные результаты в зависимости от типа выполняемой трассировки. Traceroute работает путём отправки пакетов к цели с последовательным увеличением значения поля Time-to-Live в заголовке пакета. При прохождении пакета через каждый узел на пути к назначению его TTL истекает, генерируя диагностическое ICMP-сообщение, идентифицирующее место истечения срока действия пакета. Традиционные методы трассировки маршрута основывались на использовании ICMP и UDP, однако по мере того как всё больше межсетевых экранов стали фильтровать входящие ICMP-пакеты, были разработаны методы трассировки на основе TCP.
https://capec.mitre.org/data/definitions/293.html →Открыть в коллекции CAPEC →Злоумышленник отправляет ICMP-сообщение типа 17 (Address Mask Request) для сбора сведений о конфигурации сети цели. Запросы маски адреса ICMP определены в RFC-950, «Internet Standard Subnetting Procedure». Запрос маски адреса — это ICMP-сообщение типа 17, которое побуждает удалённую систему ответить перечнем связанных подсетей, а также шлюзом по умолчанию и широковещательным адресом посредством ICMP-датаграммы типа 18 (Address Mask Reply). Сбор такой информации помогает злоумышленнику планировать атаки на маршрутизаторы, а также атаки типа «отказ в обслуживании» против широковещательного адреса.
https://capec.mitre.org/data/definitions/294.html →Открыть в коллекции CAPEC →Данный шаблон атаки использует стандартные запросы для определения точного времени, ассоциированного с целевой системой. Злоумышленник может использовать временную метку, возвращённую целью, для атаки на основанные на времени алгоритмы безопасности, такие как генераторы случайных чисел или механизмы аутентификации на основе времени.
https://capec.mitre.org/data/definitions/295.html →Открыть в коллекции CAPEC →Злоумышленник отправляет ICMP Information Request хосту, чтобы проверить, ответит ли тот на этот устаревший механизм. ICMP Information Requests — устаревший тип сообщений. Изначально запросы информации использовались для того, чтобы бездисковые компьютеры могли автоматически получать конфигурацию сети, однако этот тип сообщений был вытеснен более надёжными реализациями протоколов, такими как DHCP.
https://capec.mitre.org/data/definitions/296.html →Открыть в коллекции CAPEC →Злоумышленник отправляет TCP-сегмент с установленным флагом ACK удалённому хосту для определения его доступности. Это один из нескольких типов TCP-«пинга». Ожидаемое поведение по RFC 793 для службы — ответить пакетом RST («reset») на любой незапрошенный ACK-сегмент, не являющийся частью существующего соединения. Таким образом, отправив ACK-сегмент на порт, злоумышленник может определить, что хост активен, по наличию пакета RST. Как правило, удалённый сервер отвечает RST вне зависимости от того, открыт порт или закрыт. В связи с этим TCP ACK Ping не позволяет определить состояние удалённого порта, поскольку поведение в обоих случаях одинаково. Межсетевой экран просматривает ACK-пакет в своей таблице состояний и отбрасывает сегмент, поскольку он не соответствует ни одному активному соединению. TCP ACK Ping может использоваться для определения доступности хоста по пакетам RST, отправляемым хостом в ответ.
https://capec.mitre.org/data/definitions/297.html →Открыть в коллекции CAPEC →Злоумышленник отправляет UDP-датаграмму удалённому хосту для определения его доступности. Если UDP-датаграмма отправлена на открытый UDP-порт, ответ нередко отсутствует, поэтому типичная стратегия UDP-пинга — отправка датаграммы на случайный порт с высоким номером на цели. Цель — получить от цели сообщение «ICMP port unreachable», свидетельствующее о доступности хоста. UDP-пинги полезны, поскольку некоторые межсетевые экраны не настроены на блокировку UDP-датаграмм, отправляемых на нестандартные или редко используемые порты, например порты в диапазоне 65K. Кроме того, хотя некоторые межсетевые экраны могут фильтровать входящие ICMP-пакеты, уязвимости в наборах правил межсетевого экрана могут допускать определённые типы ICMP (host unreachable, port unreachable), которые полезны для попыток UDP-пинга.
https://capec.mitre.org/data/definitions/298.html →Открыть в коллекции CAPEC →Злоумышленник использует TCP SYN-пакеты как средство обнаружения хостов. Типичное поведение по RFC 793 предусматривает, что когда TCP-порт открыт, хост должен ответить на входящий SYN-пакет («synchronize»), завершив второй этап «трёхстороннего рукопожатия» — отправив SYN/ACK в ответ. Когда порт закрыт, поведение по RFC 793 — ответить пакетом RST («reset»). Это поведение можно использовать для «пинга» цели с целью проверки её доступности: отправить TCP SYN-пакет на порт и затем отслеживать RST или ACK-пакет в ответ.
https://capec.mitre.org/data/definitions/299.html →Открыть в коллекции CAPEC →Злоумышленник использует комбинацию методов для определения состояния портов на удалённой цели. Для каждой службы или приложения, доступного по TCP или UDP в сети, открыт соответствующий порт для коммуникации.
https://capec.mitre.org/data/definitions/300.html →Открыть в коллекции CAPEC →Злоумышленник использует полные попытки установления TCP-соединений для определения состояния порта на целевой системе. Процесс сканирования включает выполнение «трёхстороннего рукопожатия» с удалённым портом и сообщает о закрытии порта, если полное рукопожатие не может быть установлено. Преимущество TCP connect-сканирования заключается в том, что оно работает с любым TCP/IP-стеком.
https://capec.mitre.org/data/definitions/301.html →Открыть в коллекции CAPEC →Злоумышленник использует TCP FIN-сканирование для определения закрытых портов на целевом компьютере. Данный метод сканирования реализуется путём отправки TCP-сегментов с установленным битом FIN в заголовке пакета. Ожидаемое поведение по RFC 793 состоит в том, что любой TCP-сегмент с неожиданным флагом, отправленный на открытый порт, отбрасывается, тогда как сегменты с неожиданными флагами, отправленные на закрытые порты, должны обрабатываться с RST в ответ. Это поведение позволяет злоумышленнику сканировать закрытые порты, отправляя определённые типы нарушающих правила пакетов и обнаруживая закрытые порты по RST-пакетам.
https://capec.mitre.org/data/definitions/302.html →Открыть в коллекции CAPEC →Злоумышленник использует TCP XMAS-сканирование для определения закрытых портов на целевом компьютере. Данный метод реализуется путём отправки TCP-сегментов со всеми возможными установленными флагами в заголовке пакета, формируя пакеты, являющиеся недопустимыми согласно RFC 793. Ожидаемое поведение по RFC 793 состоит в том, что любой TCP-сегмент с неожиданным флагом, отправленный на открытый порт, отбрасывается, тогда как сегменты с неожиданными флагами, отправленные на закрытые порты, должны обрабатываться с RST в ответ. Это поведение позволяет злоумышленнику сканировать закрытые порты и обнаруживать их по RST-пакетам.
https://capec.mitre.org/data/definitions/303.html →Открыть в коллекции CAPEC →Злоумышленник использует TCP Null-сканирование для определения закрытых портов на целевом компьютере. Данный метод реализуется путём отправки TCP-сегментов без каких-либо флагов в заголовке пакета, формируя пакеты, являющиеся недопустимыми согласно RFC 793. Ожидаемое поведение по RFC 793 состоит в том, что любой TCP-сегмент с неожиданным флагом, отправленный на открытый порт, отбрасывается, тогда как сегменты с неожиданными флагами, отправленные на закрытые порты, должны обрабатываться с RST в ответ. Это поведение позволяет злоумышленнику сканировать закрытые порты и обнаруживать их по RST-пакетам.
https://capec.mitre.org/data/definitions/304.html →Открыть в коллекции CAPEC →Злоумышленник использует TCP ACK-сегменты для сбора сведений о конфигурации межсетевого экрана или ACL. Цель данного типа сканирования — получить информацию о конфигурации фильтров, а не о состоянии портов. Данный тип сканирования редко полезен сам по себе, однако в сочетании с SYN-сканированием даёт более полное представление о типе действующих правил межсетевого экрана.
https://capec.mitre.org/data/definitions/305.html →Открыть в коллекции CAPEC →Злоумышленник применяет TCP Window-сканирование для анализа состояния портов и определения типа операционной системы. TCP Window-сканирование использует метод ACK-сканирования, но исследует поле размера TCP-окна ответных RST-пакетов для получения определённых выводов. Хотя TCP Window-сканирование выполняется быстро и относительно незаметно, оно работает с меньшим числом TCP-стеков, чем любой другой тип сканирования. Некоторые операционные системы возвращают положительный размер TCP-окна в RST-пакете, отправленном с открытого порта, и отрицательное значение, когда RST исходит с закрытого порта. TCP Window-сканирование — один из наиболее сложных типов сканирования, а его результаты сложно интерпретировать. Window-сканирование само по себе редко даёт полезную информацию, однако в сочетании с другими типами сканирования оно более информативно. В целом это более надёжный способ получить выводы о версиях операционных систем, чем о состоянии портов.
https://capec.mitre.org/data/definitions/306.html →Открыть в коллекции CAPEC →Злоумышленник сканирует RPC-службы, прослушивающие Unix/Linux-хост.
https://capec.mitre.org/data/definitions/307.html →Открыть в коллекции CAPEC →Злоумышленник применяет UDP-сканирование для сбора сведений о состоянии UDP-портов на целевой системе. Методы UDP-сканирования включают отправку UDP-датаграммы на целевой порт и поиск признаков того, что порт закрыт. Открытые UDP-порты, как правило, не отвечают на UDP-датаграммы, поскольку в протоколе отсутствует механизм с отслеживанием состояния, требующий установления сессии. Ответы на UDP-датаграммы являются специфичными для приложения и не могут использоваться как надёжный метод обнаружения открытого порта. UDP-сканирование в значительной мере опирается на диагностические ICMP-сообщения для определения состояния удалённого порта.
https://capec.mitre.org/data/definitions/308.html →Открыть в коллекции CAPEC →Злоумышленник выполняет сканирование для составления карты сетевых узлов, хостов, устройств и маршрутов. Злоумышленники, как правило, проводят такую сетевую разведку на ранних этапах атаки на внешнюю сеть. Обычно применяется широкий спектр утилит сканирования, включая инструменты на основе ICMP, сетевые картографы, сканеры портов и утилиты тестирования маршрутов, такие как traceroute.
https://capec.mitre.org/data/definitions/309.html →Открыть в коллекции CAPEC →Злоумышленник осуществляет сканирование для поиска уязвимых версий или типов программного обеспечения, таких как версии операционных систем или сетевые службы. Уязвимые или поддающиеся эксплуатации сетевые конфигурации, например ненадлежащим образом защищённые межсетевым экраном системы или некорректно настроенные системы в DMZ или во внешней сети, предоставляют злоумышленнику возможности для атаки. К распространённым типам уязвимого программного обеспечения относятся неисправленные операционные системы или службы (например, FTP, Telnet, SMTP, SNMP), работающие на открытых портах, выявленных злоумышленником. Злоумышленники обычно начинают поиск уязвимого программного обеспечения после сканирования портов внешней сети и выявления потенциальных целей.
https://capec.mitre.org/data/definitions/310.html →Открыть в коллекции CAPEC →Злоумышленник выполняет действия для определения операционной системы или версии прошивки удалённой цели, опрашивая устройство, сервер или платформу с помощью зонда, призванного вызвать поведение, которое раскроет сведения об операционных системах или прошивках в среде. Обнаружение операционной системы возможно, поскольку реализации общих протоколов (таких как IP или TCP) различаются характерным образом. Хотя различия в реализациях недостаточны для «нарушения» совместимости с протоколом, они обнаруживаемы: цель реагирует уникальным образом на специфическую зондирующую активность, нарушающую семантические или логические правила конструирования пакетов для протокола. Различные операционные системы дают уникальный ответ на аномальный ввод, что является основой для снятия отпечатка ОС. Данный тип снятия отпечатка ОС позволяет различать типы и версии операционных систем.
https://capec.mitre.org/data/definitions/312.html →Открыть в коллекции CAPEC →Злоумышленник выполняет действия для определения версии или типа программного обеспечения ОС в среде путём пассивного наблюдения за обменом данными между устройствами, узлами или приложениями. Пассивные методы снятия отпечатка операционной системы не отправляют реальных зондов к цели, а отслеживают сетевой обмен данными или обмен между клиентом и сервером для идентификации операционных систем на основе наблюдаемого поведения в сравнении с базой данных известных сигнатур или значений. Хотя пассивное снятие отпечатка ОС, как правило, менее надёжно, чем активные методы, оно обычно лучше уклоняется от обнаружения.
https://capec.mitre.org/data/definitions/313.html →Открыть в коллекции CAPEC →Данный зонд снятия отпечатка ОС анализирует алгоритм генерации порядкового номера поля IP «ID» удалённого хоста. Операционные системы генерируют IP «ID»-номера по-разному, что позволяет злоумышленнику идентифицировать операционную систему хоста, анализируя порядок присвоения ID-номеров при генерации ответных пакетов. RFC 791 не определяет способ выбора ID-номеров и их диапазоны, поэтому генерация последовательностей ID различается в зависимости от реализации. Существуют два вида анализа последовательностей IP «ID»: анализ последовательностей IP «ID» — анализ алгоритма генерации последовательностей IP «ID» для одного протокола, используемого хостом, и анализ разделяемых последовательностей IP «ID» — анализ порядка пакетов на основе значений IP «ID» в нескольких протоколах, например между ICMP и TCP.
https://capec.mitre.org/data/definitions/317.html →Открыть в коллекции CAPEC →Данный зонд снятия отпечатка ОС проверяет, отражает ли удалённый хост значение IP «ID» из зондирующего пакета. Злоумышленник отправляет UDP-датаграмму с произвольным значением IP «ID» на закрытый порт удалённого хоста, чтобы наблюдать способ отражения этого бита в ICMP-сообщении об ошибке. Поле идентификации (ID) обычно используется для повторной сборки фрагментированного пакета. Некоторые операционные системы или прошивки маршрутизаторов меняют порядок байтов поля ID при отражении IP-заголовка исходной датаграммы в ICMP-сообщении об ошибке.
https://capec.mitre.org/data/definitions/318.html →Открыть в коллекции CAPEC →Данный зонд снятия отпечатка ОС проверяет, отражает ли удалённый хост бит IP «DF» (Don't Fragment) в ответном пакете. Злоумышленник отправляет UDP-датаграмму с установленным битом DF на закрытый порт удалённого хоста, чтобы наблюдать, установлен ли бит «DF» в ответном пакете. Некоторые операционные системы отражают этот бит в ICMP-сообщении об ошибке, тогда как другие обнуляют бит в ответном пакете.
https://capec.mitre.org/data/definitions/319.html →Открыть в коллекции CAPEC →Данный зонд снятия отпечатка ОС исследует реализацию временных меток TCP удалённого сервера. Не все операционные системы реализуют временные метки в TCP-заголовке, однако когда они используются, это предоставляет злоумышленнику возможность угадать операционную систему цели. Злоумышленник начинает с зондирования любой активной TCP-службы, чтобы получить ответ, содержащий временную метку TCP. Различные операционные системы обновляют значение временной метки через разные интервалы. Данный тип анализа наиболее точен при получении и анализе нескольких ответов с временными метками. Временные метки TCP находятся в поле опций TCP-заголовка.
https://capec.mitre.org/data/definitions/320.html →Открыть в коллекции CAPEC →Данный зонд снятия отпечатка ОС тестирует механизм присвоения последовательных номеров TCP целевой системой. Один из распространённых способов проверки генерации последовательных номеров TCP — отправить зондирующий пакет на открытый порт цели и затем сравнить соотношение сгенерированного целью последовательного номера с номером подтверждения в зондирующем пакете. Различные операционные системы присваивают последовательные номера по-разному, поэтому отпечаток операционной системы можно получить, категоризировав соотношение между номером подтверждения и последовательным номером следующим образом: 1) последовательный номер, сгенерированный целью, равен нулю; 2) последовательный номер, сгенерированный целью, совпадает с номером подтверждения в зонде; 3) последовательный номер, сгенерированный целью, на единицу превышает номер подтверждения; 4) последовательный номер является любым другим ненулевым числом.
https://capec.mitre.org/data/definitions/321.html →Открыть в коллекции CAPEC →Данный зонд снятия отпечатка ОС отправляет ряд TCP SYN-пакетов на открытый порт удалённого компьютера. Начальный порядковый номер (ISN) в каждом из ответных пакетов SYN/ACK анализируется для определения наименьшего числа, которое целевой хост использует при увеличении порядковых номеров. Эта информация может быть полезна для идентификации операционной системы, поскольку конкретные операционные системы и их версии увеличивают порядковые номера с использованием разных значений. Результат анализа затем сравнивается с базой данных поведения ОС для определения типа и/или версии ОС.
https://capec.mitre.org/data/definitions/322.html →Открыть в коллекции CAPEC →Данный зонд обнаружения ОС измеряет среднюю скорость приращений начального порядкового номера за период времени. Порядковые номера увеличиваются с использованием алгоритма на основе времени и подвержены временному анализу, позволяющему определить количество приращений в единицу времени. Результат данного анализа затем сравнивается с базой данных операционных систем и версий для определения вероятных совпадений операционной системы.
https://capec.mitre.org/data/definitions/323.html →Открыть в коллекции CAPEC →Данный тип зонда операционной системы пытается определить оценку предсказуемости алгоритма генерации порядковых номеров для удалённого хоста. Статистические методы, такие как стандартное отклонение, могут использоваться для определения предсказуемости генерации порядковых номеров для системы. Этот результат затем может быть сопоставлен с базой данных поведения операционных систем для определения вероятного совпадения операционной системы и версии.
https://capec.mitre.org/data/definitions/324.html →Открыть в коллекции CAPEC →Данный зонд снятия отпечатка ОС проверяет, поддерживает ли удалённый хост явное уведомление о перегрузке (ECN). ECN-уведомления разработаны для того, чтобы маршрутизаторы могли уведомлять удалённый хост о возникающих проблемах с перегрузкой. Явное уведомление о перегрузке определено в RFC 3168. Различные операционные системы и версии могут реализовывать или не реализовывать ECN-уведомления либо реагировать уникальным образом на определённые типы флагов ECN.
https://capec.mitre.org/data/definitions/325.html →Открыть в коллекции CAPEC →Данный зонд снятия отпечатка ОС проверяет начальный размер TCP-окна. TCP-стеки ограничивают диапазон допустимых порядковых номеров в рамках сессии для поддержания состояния «connected» в логике протокола TCP. Начальный размер окна определяет диапазон допустимых порядковых номеров, которые будут квалифицироваться как ответ на ACK-пакет в рамках сессии. Различные операционные системы используют разные начальные размеры окна. Начальный размер окна может быть зафиксирован путём установления обычного TCP-соединения.
https://capec.mitre.org/data/definitions/326.html →Открыть в коллекции CAPEC →Данный зонд снятия отпечатка ОС анализирует тип и порядок любых опций TCP-заголовка, присутствующих в ответном сегменте. Большинство операционных систем используют уникальный порядок и разные наборы опций при их наличии. RFC 793 не определяет обязательного порядка при наличии опций, поэтому различные реализации используют уникальные способы упорядочивания или структурирования опций TCP. Опции TCP могут генерироваться обычным TCP-трафиком.
https://capec.mitre.org/data/definitions/327.html →Открыть в коллекции CAPEC →Данный зонд снятия отпечатка ОС выполняет контрольное суммирование ASCII-данных, содержащихся в полезной нагрузке пакета RST. Некоторые операционные системы включают удобочитаемое текстовое сообщение в полезную нагрузку пакета «RST» (сброс) при возникновении определённых типов ошибок соединения. RFC 1122 допускает текстовые полезные нагрузки в пакетах сброса, однако не все операционные системы и маршрутизаторы реализуют эту функциональность.
https://capec.mitre.org/data/definitions/328.html →Открыть в коллекции CAPEC →Злоумышленник использует технику для генерации ICMP-сообщения об ошибке (Port Unreachable, Destination Unreachable, Redirect, Source Quench, Time Exceeded, Parameter Problem) с цели, после чего анализирует объём данных, возвращённых или «процитированных» из исходного запроса, сгенерировавшего ICMP-сообщение об ошибке.
https://capec.mitre.org/data/definitions/329.html →Открыть в коллекции CAPEC →Злоумышленник использует технику для генерации ICMP-сообщения об ошибке (Port Unreachable, Destination Unreachable, Redirect, Source Quench, Time Exceeded, Parameter Problem) с цели, после чего анализирует целостность данных, возвращённых или «процитированных» из исходного запроса, сгенерировавшего сообщение об ошибке.
https://capec.mitre.org/data/definitions/330.html →Открыть в коллекции CAPEC →Злоумышленник регистрирует событие в рамках приложения, после чего отслеживает данные, передаваемые в ходе этого события, с целью сбора важной информации, утечка которой произошла в процессе транзакций. Одним из примеров может служить сбор списков имён пользователей или идентификаторов пользователей для последующей рассылки спама. Один из примеров данного типа атаки: злоумышленник создаёт событие внутри дочернего приложения. Допустим, злоумышленник организует «виртуальную распродажу» редких предметов. По мере того как другие пользователи присоединяются к событию, злоумышленник посредством AiTM-прокси (CAPEC-94) записывает идентификаторы пользователей и имена всех присутствующих. После этого злоумышленник получает возможность рассылать спам этим пользователям внутри приложения с использованием автоматизированного скрипта.
https://capec.mitre.org/data/definitions/383.html →Открыть в коллекции CAPEC →Злоумышленник манипулирует входящими или исходящими данными клиента в рамках приложения с целью изменения содержимого сообщений. Проведение данной атаки может позволить злоумышленнику получить несанкционированные привилегии в приложении или осуществить атаки, такие как фишинг, тактики обмана для распространения вредоносного ПО или традиционные атаки на веб-приложения. Техники требуют использования специализированного программного обеспечения, позволяющего злоумышленнику осуществлять коммуникации «adversary-in-the-middle» (CAPEC-94) между веб-браузером и удалённой системой. Несмотря на использование программного обеспечения AiTM, атака фактически направлена против сервера, поскольку клиент является одним узлом в цепочке контент-брокеров, передающих информацию в инфраструктуру приложения. Кроме того, это не является настоящей атакой «Adversary-in-the-Middle» на сетевом уровне, а представляет собой атаку на уровне приложения, коренная причина которой — доверие основного приложения к целостности кода, поставляемого клиентом.
https://capec.mitre.org/data/definitions/384.html →Открыть в коллекции CAPEC →Злоумышленник регистрируется в событии или транзакции в рамках приложения с целью изменения содержимого сообщений или элементов, которыми обмениваются стороны. Проведение данной атаки позволяет злоумышленнику манипулировать содержимым таким образом, чтобы создавать сообщения или контент, выглядящие аутентично, но содержащие вводящие в заблуждение ссылки, подменять одни элементы другими, имитировать существующий элемент для проведения ложного обмена или иным образом изменять количество или идентичность обмениваемого. Техники требуют использования специализированного программного обеспечения, позволяющего злоумышленнику перехватывать коммуникации «человек посередине» между веб-браузером и удалённой системой с целью изменения содержимого различных элементов приложения. Нередко предметы, которыми обмениваются в игре, могут быть монетизированы через продажу за игровую или реальную валюту. Цель атаки — обмануть жертву путём перехвата пакетов данных, задействованных в обмене, и нарушения целостности процесса передачи.
https://capec.mitre.org/data/definitions/385.html →Открыть в коллекции CAPEC →Злоумышленник манипулирует входящими или исходящими данными клиента в рамках приложения с целью изменения назначения и/или содержимого ссылок/кнопок, отображаемых пользователю в API-сообщениях. Проведение данной атаки позволяет злоумышленнику манипулировать содержимым таким образом, чтобы создавать сообщения или контент, выглядящие аутентично, но содержащие ссылки/кнопки, указывающие на подконтрольный злоумышленнику адрес назначения. Некоторые приложения затрудняют обнаружение перенаправления навигации, поскольку фактические значения HREF изображений, элементов профилей и ссылок/кнопок маскируются. Одним из примеров может служить размещение изображения в фотогалерее пользователя, при нажатии на которое происходит перенаправление на сторонний сайт. Кроме того, традиционные веб-уязвимости (такие как CSRF) могут быть реализованы с использованием перенаправленных кнопок или ссылок. В ряде случаев перенаправление навигации может использоваться для фишинговых атак или как средство искусственного увеличения числа просмотров страниц, репутации пользователя на сайте или мошенничества с кликами.
https://capec.mitre.org/data/definitions/386.html →Открыть в коллекции CAPEC →Злоумышленник манипулирует входящими или исходящими данными клиента в рамках приложения с целью изменения содержимого сообщений и тем самым обхода ожидаемой логики приложения.
https://capec.mitre.org/data/definitions/387.html →Открыть в коллекции CAPEC →Злоумышленник манипулирует входящими или исходящими данными клиента в рамках приложения с целью изменения назначения и/или содержимого кнопок, отображаемых пользователю в API-сообщениях. Проведение данной атаки позволяет злоумышленнику манипулировать содержимым таким образом, чтобы создавать сообщения или контент, выглядящие аутентично, но содержащие кнопки, указывающие на подконтрольный злоумышленнику адрес назначения.
https://capec.mitre.org/data/definitions/388.html →Открыть в коллекции CAPEC →Злоумышленник тщательно разрабатывает небольшие фрагменты JavaScript для эффективного определения типа браузера потенциальной жертвы. Многие веб-атаки требуют предварительного знания браузера, включая его версию, для успешной эксплуатации уязвимости. Наличие этих знаний позволяет злоумышленнику нацелить атаки непосредственно на известные или ранее неизвестные уязвимости конкретного типа и версии браузера жертвы. Автоматизация этого процесса с помощью JavaScript в рамках той же системы доставки, что используется для эксплуатации браузера, считается более эффективной: злоумышленник может встроить метод снятия отпечатка браузера и интегрировать его с кодом эксплуатации — всё в виде JavaScript в ответ на тот же запрос браузера.
https://capec.mitre.org/data/definitions/472.html →Открыть в коллекции CAPEC →Злоумышленник эксплуатирует сложность структуры данных, допускающей как подписанное, так и неподписанное содержимое, с целью обработки неподписанных данных как подписанных.
https://capec.mitre.org/data/definitions/477.html →Открыть в коллекции CAPEC →Злоумышленник выполняет разведывательные действия для определения наличия распространённых ключевых файлов. Такие файлы нередко содержат параметры конфигурации и безопасности целевого приложения, системы или сети. Полученные знания зачастую открывают путь к более серьёзным атакам.
https://capec.mitre.org/data/definitions/497.html →Открыть в коллекции CAPEC →При атаке подглядывания через плечо злоумышленник наблюдает за нажатиями клавиш, содержимым экрана или разговорами ничего не подозревающего человека с целью получения конфиденциальной информации. Одним из мотивов данной атаки является получение конфиденциальной информации о цели в финансовых, личных, политических или иных целях. С точки зрения инсайдерской угрозы дополнительным мотивом может быть получение учётных данных для системы/приложения или криптографических ключей. Атаки подглядывания через плечо осуществляются путём наблюдения за содержимым «через плечо жертвы», как следует из названия данной атаки.
https://capec.mitre.org/data/definitions/508.html →Открыть в коллекции CAPEC →Злоумышленник эксплуатирует функциональность, предназначенную для предоставления авторизованному пользователю информации о текущих запущенных процессах на целевой системе. Зная, какие процессы выполняются на целевой системе, злоумышленник получает сведения о целевой среде как средство для дальнейшего вредоносного поведения.
https://capec.mitre.org/data/definitions/573.html →Открыть в коллекции CAPEC →Злоумышленник эксплуатирует функциональность, предназначенную для предоставления авторизованному пользователю информации о службах целевой системы. Зная, какие службы зарегистрированы на целевой системе, злоумышленник получает сведения о целевой среде как средство для дальнейшего вредоносного поведения. В зависимости от операционной системы команды для получения информации о службах включают «sc» и «tasklist/svc» с помощью Tasklist, а также «net start» с помощью Net.
https://capec.mitre.org/data/definitions/574.html →Открыть в коллекции CAPEC →Злоумышленник использует функциональность, предназначенную для предоставления авторизованному пользователю сведений о доменных учётных записях и их правах на целевой системе. Зная, какие учётные записи зарегистрированы на целевой системе, злоумышленник может планировать более целенаправленные вредоносные действия. Примеры команд Windows, позволяющих получить эту информацию: "net user" и "dsquery".
https://capec.mitre.org/data/definitions/575.html →Открыть в коллекции CAPEC →Злоумышленник использует функциональность, предназначенную для предоставления авторизованному пользователю сведений о группах пользователей и их правах на целевой системе. Зная, какие пользователи и права зарегистрированы на целевой системе, злоумышленник может планировать более целенаправленные вредоносные действия. Пример команды Windows для вывода списка локальных групп: "net localgroup".
https://capec.mitre.org/data/definitions/576.html →Открыть в коллекции CAPEC →Злоумышленник использует функциональность, предназначенную для предоставления авторизованному пользователю сведений об основных пользователях целевой системы. Для этого он может, например, просматривать записи входов или время изменения файлов. Зная, кто является владельцами на целевой системе, злоумышленник может планировать более целенаправленные вредоносные действия. Пример команды Windows, позволяющей это сделать: "dir /A ntuser.dat" — она выводит время последнего изменения файла ntuser.dat пользователя при выполнении в корневом каталоге этого пользователя. Данное время соответствует последнему времени входа этого пользователя в систему.
https://capec.mitre.org/data/definitions/577.html →Открыть в коллекции CAPEC →Трафик сотовой связи — голосовой и передачи данных — с мобильных устройств и устройств ретрансляции может быть перехвачен различными методами. Злоумышленники могут развёртывать собственное оборудование сотовых вышек и скрытно перехватывать трафик сотовой связи. Кроме того, государственные органы и злоумышленники могут перехватывать трафик сотовой связи через телекоммуникационную магистраль, по которой передаётся мобильный трафик.
https://capec.mitre.org/data/definitions/609.html →Открыть в коллекции CAPEC →Злоумышленник предоставляет вредоносную версию ресурса по адресу, схожему с ожидаемым расположением легитимного ресурса. Создав поддельный ресурс, злоумышленник ожидает, пока жертва посетит его и обратится к вредоносному ресурсу.
https://capec.mitre.org/data/definitions/616.html →Открыть в коллекции CAPEC →Злоумышленник обнаруживает связи между системами, используя стандартную практику целевой системы раскрывать их в общедоступных местах. Определив общие папки/диски между системами, злоумышленник может продвигать свои цели по обнаружению и сбору конфиденциальной информации/файлов или составлению карты возможных маршрутов для горизонтального перемещения по сети.
https://capec.mitre.org/data/definitions/643.html →Открыть в коллекции CAPEC →Злоумышленники могут пытаться получить информацию о подключённых периферийных устройствах и компонентах компьютерной системы. Примеры включают обнаружение iOS-устройств путём поиска резервных копий, анализ реестра Windows для определения подключавшихся USB-устройств или заражение системы жертвы вредоносным программным обеспечением для получения уведомлений о подключении USB-устройства. Это может позволить злоумышленнику получить дополнительные сведения о системе или сетевой среде, что может быть использовано для разработки последующих атак.
https://capec.mitre.org/data/definitions/646.html →Открыть в коллекции CAPEC →Злоумышленник перехватывает форму коммуникации (например, текст, аудио, видео) с помощью программных средств (например, микрофона и приложения для записи аудио), аппаратных средств (например, записывающего оборудования) или физических методов (например, физической близости). Цель прослушивания, как правило, состоит в получении несанкционированного доступа к конфиденциальной информации о цели в финансовых, личных, политических или иных целях. Прослушивание отличается от атаки перехватом пакетов тем, что не осуществляется по сетевому каналу связи (например, IP-трафику). Вместо этого оно предполагает прослушивание необработанного аудиоисточника разговора между двумя и более сторонами.
https://capec.mitre.org/data/definitions/651.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| docker.io | Отслеживается | |
| docker.io | Отслеживается | |
| docker.io | Отслеживается | |
| docker.io | Отслеживается | |
| docker.io | Отслеживается | |
| docker.io | Отслеживается | |
| docker.io | Отслеживается | |
| docker.io | Отслеживается | |
| docker.io | Отслеживается | |
| docker.io | Отслеживается | |
| docker.io-app | Отслеживается | |
| docker.io-app | Отслеживается | |
| docker.io-app | Отслеживается | |
| docker.io-app | Отслеживается | |
| docker.io-app | Отслеживается | |
| docker.io-app | Отслеживается | |
| moby | * | Отслеживается |