AIDE - это передовая среда обнаружения вторжений. До версии 0.19.2 в AIDE установлена неправильная выходная уязвимость нейтрализации. Злоум…
AIDE - это передовая среда обнаружения вторжений. До версии 0.19.2 в AIDE установлена неправильная выходная уязвимость нейтрализации. Злоумышленник может создать вредоносное имя файла, включив последовательности выхода терминала, чтобы скрыть добавление или удаление файла из отчета и/или вмятины в вывод журнала. Локальный пользователь может использовать это для обхода AIDE обнаружения вредоносных файлов. Кроме того, вывод расширенных чисел атрибутов и символических мишеней связей также не нейтрализован должным образом. Эта проблема была исправлена в версии 0.19.2. Обход включает в себя настройку AIDE для записи вывода отчета в обычный файл, перенаправление стипендии на обычный файл или перенаправление вывода журнала, написанного на операциональный файл.
Продукт формирует сообщение журнала из внешних входных данных, однако не нейтрализует или некорректно нейтрализует специальные элементы при записи сообщения в файл журнала.
https://cwe.mitre.org/data/definitions/117.html →Открыть в коллекции CWE →Атаки типа «Фальсификация журналов веб-сервера» предполагают внедрение, удаление или иное изменение содержимого журналов веб-сервера злоумышленником, как правило, с целью сокрытия других вредоносных действий. Кроме того, запись вредоносных данных в файлы журналов может быть направлена против задач, фильтров, отчётов и других агентов, обрабатывающих журналы в асинхронном шаблоне атаки. Данный шаблон атаки схож с «Внедрением/фальсификацией/подделкой журналов», за исключением того, что в данном случае атака направлена на журналы веб-сервера, а не приложения.
https://capec.mitre.org/data/definitions/81.html →Открыть в коллекции CAPEC →Данная атака направлена против файлов журналов целевого узла. Злоумышленник внедряет, модифицирует или фальсифицирует вредоносные записи в файле журнала, что позволяет ему ввести в заблуждение аудитора журнала, скрыть следы атаки или осуществить иные вредоносные действия. Целевой узел не обеспечивает надлежащего контроля доступа к журналам. В результате скомпрометированные данные попадают в файлы журналов, что приводит к нарушению подотчётности, неотказуемости и возможностей криминалистической экспертизы инцидентов.
https://capec.mitre.org/data/definitions/93.html →Открыть в коллекции CAPEC →Злоумышленник внедряет, изменяет, удаляет или фальсифицирует вредоносные записи в файле журнала с целью ввести в заблуждение аудит этого журнала или скрыть следы атаки. Вследствие недостаточного контроля доступа к файлам журнала или к механизму журналирования злоумышленник способен выполнять подобные действия.
https://capec.mitre.org/data/definitions/268.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| Отслеживается | ||
| aide | Отслеживается | |
| aide | Отслеживается | |
| aide | Отслеживается | |
| aide | Отслеживается | |
| advanced_intrusion_detection_environment | * | Отслеживается |