Уязвимость Missing Root of Trust в устройстве CarlinKit CPC200-CCPA позволяет локальному злоумышленнику повысить привилегии на уязвимых уст…
Уязвимость Missing Root of Trust в устройстве CarlinKit CPC200-CCPA позволяет локальному злоумышленнику повысить привилегии на уязвимых устройствах. Злоумышленнику необходимо выполнить низкопривилегированный код на целевой системе, чтобы использовать эту уязвимость. Проблема заключается в отсутствии надлежащей конфигурации корня доверия в SoC [1]. Источники: - [1] https://www.zerodayinitiative.com/advisories/ZDI-25-176/
Отсутствие неизменяемого корня доверия в аппаратных средствах приводит к возможности обхода защищённой загрузки или исполнения недоверенного или враждебного загрузочного кода.
https://cwe.mitre.org/data/definitions/1326.html →Открыть в коллекции CWE →Во многих языках программирования используются механизмы подписания кода для удостоверения идентичности кода и тем самым привязки кода к назначенным ему привилегиям в среде. Подрыв этого механизма может быть инструментом повышения привилегий злоумышленником. Любой способ обхода механизма контроля подписания кода виртуальной машиной квалифицируется как данный стиль атаки.
https://capec.mitre.org/data/definitions/68.html →Открыть в коллекции CAPEC →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/679.html →Открыть в коллекции CAPEC →