T1190: Недостатки в общедоступном приложении
Злоумышленники могут попытаться использовать уязвимость на хосте или в системе, доступных из интернета, чтобы получить первоначальный доступ к сети. Уязвимостью в системе может быть программная ошибка, временный сбой или неправильная конфигурация.
Чаще всего объектом эксплуатации становятся веб-сайты или веб-серверы, но также это могут быть базы данных (например, SQL), стандартные службы (например, SMB или SSH), протоколы управления сетевыми устройствами (например, SNMP и Smart Install), а также любые другие системы с открытыми сокетами, доступными из интернета. В зависимости от используемой уязвимости также могут применяться техники Эксплуатация уязвимостей для предотвращения обнаружения или Эксплуатация уязвимостей в клиентском ПО.
Если приложение размещено в облачной инфраструктуре и (или) контейнере, его эксплуатация может привести к компрометации экземпляра или контейнера, в котором оно находится. Благодаря этому злоумышленник может получить доступ к облаку или API контейнера, эксплуатировать доступ к хосту контейнера посредством выхода за пределы контейнера или воспользоваться слабыми политиками управления идентификацией и доступом.
Злоумышленники также могут эксплуатировать инфраструктуру пограничных сетей, целенаправленно атакуя устройства, не обладающие надежной защитой на уровне хоста.
Наиболее распространенные веб-уязвимости для сайтов и баз данных можно найти в рейтингах OWASP Top 10 и CWE Top 25.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
process_chains_and_logons: PT-CR-953: Suspicious_Webserver_Process_Chain: Подозрительная цепочка запуска процессов для утилит веб-сервера pt_application_firewall: PT-CR-639: PTAF_Alert_Detected: Сработало правило PT AF pt_application_firewall: PT-CR-1884: PTAF_SQL_Injection_Detected: Приложение PT AF обнаружило попытку атаки типа "Внедрение SQL-кода" pt_application_firewall: PT-CR-1907: PTAF_CVE_Detected: Приложение PT AF обнаружило попытку эксплуатации уязвимости pt_application_firewall: PT-CR-1882: PTAF_XSS_Attack_Detected: Приложение PT AF обнаружило попытку атаки XSS (межсайтовый скриптинг) pt_application_firewall: PT-CR-637: PTAF_Reflected_File_Download_Detected: Приложение PT AF обнаружило атаку с отраженной загрузкой файла (RFD) pt_application_firewall: PT-CR-1897: PTAF_LFI_Detected: Приложение PT AF обнаружило попытку эксплуатации уязвимости LFI (Local File Inclusion) pt_application_firewall: PT-CR-1896: PTAF_Path_Traversal_Detected: Приложение PT AF обнаружило попытку атаки Path Traversal postfix: PT-CR-2715: Postfix_Shellshock_On_Patched_Version: Возможная эксплуатация уязвимости CVE-2014-6271 (Shellshock) в версиях Postfix, где эта уязвимость устранена pt_nad: PT-CR-730: NAD_CVE_On_Vulnerable_Host: PT NAD обнаружил попытку эксплуатации уязвимости vulnerabilities: PT-CR-2431: Subrule_CVE_2024_21683_Confluence_RCE: Успешный POST-запрос к функции Confluence "Добавить новый язык" в разделе настройки макроса "Code" от пользователя, прошедшего проверку подлинности. Это может свидетельствовать об эксплуатации уязвимости CVE-2024-21683, позволяющей выполнить произвольный код на узле с сервером Confluence vulnerabilities: PT-CR-2455: CVE_2024_4577_PHP_CGI_RCE: Эксплуатация уязвимости CVE-2024-4577 в PHP для Windows, где PHP используется в режиме CGI. Уязвимость позволяет неавторизованному злоумышленнику удаленно выполнить произвольный код на веб-сервере. На момент разработки данного правила воспроизвести атаку можно только в операционных системах Windows, в которых установлен китайский (как упрощенный, так и традиционный) или японский язык. Уязвимость заключается в некорректной обработке юникода, а именно символа 0xAD (мягкий перенос), который интерпретируется обработчиком CGI как обычный дефис. Это позволяет злоумышленникам указывать для PHP дополнительные аргументы командной строки, начинающиеся с дефиса vulnerabilities: PT-CR-2064: Subrule_ActiveMQ_Connect: Подключение к сервису Apache ActiveMQ vulnerabilities: PT-CR-2405: CVE_2024_24919_CheckPoint_Information_Disclosure: Эксплуатация уязвимости CVE-2024-24919, которая позволяет злоумышленникам читать любые файлы на устройствах межсетевого экранирования Check Point без авторизации. Уязвимость содержится в продуктах Check Point с включенными программными блейдами IPSec VPN, Remote Access VPN и Mobile Access vulnerabilities: PT-CR-2433: CVE_2024_21683_Confluence_RCE: Эксплуатация уязвимости CVE-2024-21683 в Confluence. Уязвимость позволяет пользователю, прошедшему проверку подлинности, загрузить и выполнить произвольный вредоносный код через функцию "Добавить новый язык" в разделе настройки макроса "Code" vulnerabilities: PT-CR-1917: CMS_1C_Bitrix_Race_Landing_Exploit: Возможная эксплуатация уязвимости модуля landing системы управления содержимым сайтов (CMS) 1С-Битрикс: Управление сайтом vulnerabilities: PT-CR-2486: Sharepoint_Remote_Code_Execution: Эксплуатация уязвимости CVE-2024-38023, CVE-2024-38024 или CVE-2024-38094 в Microsoft SharePoint Server. Такие уязвимости позволяют пользователю с правами владельца сайта после прохождения аутентификации загрузить вредоносный файл на целевой сервер SharePoint и выполнить API-запросы для запуска десериализации параметров файла. Это необходимо злоумышленнику для удаленного выполнения произвольного кода vulnerabilities: PT-CR-1994: CVE_2023_22515_Confluence: Эксплуатация уязвимости CVE-2023-22515 в Confluence, связанная с созданием аккаунтов с правами администратора без аутентификации на сервере vulnerabilities: PT-CR-2065: CVE_2023_46604_ActiveMQ_RCE: Возможная эксплуатация уязвимости CVE-2023-46604 в сервисе Apache ActiveMQ для удаленного выполнения кода vulnerabilities: PT-CR-2091: CVE_2022_26134_Confluence_RCE: Эксплуатация уязвимости CVE-2022-26134 в Confluence. Это позволит злоумышленникам внедрить OGNL-код, чтобы затем, действуя удаленно, выполнить произвольный код без проверки подлинности на сервере vulnerabilities: PT-CR-2281: CVE_2024_23897_Jenkins_Arbitrary_File_Read: Эксплуатация уязвимости CVE-2024-23897 в Jenkins. Злоумышленник может получить содержимое произвольного файла через интерфейс командной строки Jenkins посредством добавления символа @ к пути файла vulnerabilities: PT-CR-2293: CVE_2024_27198_TeamCity_Authentication_Bypass: Эксплуатация уязвимости CVE-2024-27198 в TeamCity. Уязвимость позволяет злоумышленнику обойти процесс аутентификации, чтобы создать нового пользователя TeamCity с правами администратора или токен доступа для пользователя. Это может быть использовано для удаленного выполнения команд vulnerabilities: PT-CR-1983: Possible_CVE_2023_20198_Cisco_IOS_XE: Возможная эксплуатация уязвимости CVE-2023-20198 в Cisco IOS XE, связанная с повышением привилегий путем создания новой учетной записи администратора vulnerabilities: PT-CR-2247: CVE_2023_27350_PaperCut_Authentication_Bypass: Подозрительная цепочка запуска процессов для приложения PaperCut NG/MF. Это может указывать на эксплуатацию уязвимости CVE-2023-27350 и выполнение вредоносного кода с использованием встроенной функциональности PaperCut NG/MF: сценариев печати и интеграции со сторонними инструментами для авторизации mitre_attck_execution: PT-CR-649: Suspicious_Child_From_Webserver_Process: Пользователь запустил процесс от родительского процесса веб-сервера mitre_attck_execution: PT-CR-645: Recon_Via_Webserver_Process: Пользователь запустил процесс от родительского процесса network_devices_abnormal_activity: PT-CR-475: Smart_Install_Usage: Возможная эксплуатация уязвимостей в Cisco Smart Install dnsmasq: PT-CR-2228: Dnsmasq_External_Service_Interaction_Domain_Detection: Подозрительные DNS-запросы к доменам взаимодействия с внешними службами, которые часто используются для внеполосного взаимодействия после успешного RCE network_devices_compromise: PT-CR-575: Smart_Install_Exploitation_Tool_Usage: Обнаружено использование эксплойта Smart Install Exploitation Tool network_devices_compromise: PT-CR-576: CheckPoint_SmartConsole_Connection: Обнаружено подключение с помощью утилиты CheckPoint SmartConsole с недоверенного узла network_devices_compromise: PT-CR-571: Cisco_IOS_Change_Config_By_SNMP: На устройстве конфигурационный файл изменен с недоверенного узла microsoft_exchange: PT-CR-1476: Exchange_ProxyNotShell: Эксплуатация уязвимости ProxyNotShell из пакета Metasploit bind: PT-CR-2185: BIND_External_Service_Interaction_Domain_Detection: Запрос параметров DNS к доменам взаимодействия с внешними службами. Злоумышленники используют подобные запросы для внеполосных взаимодействий unix_mitre_attck_initial_access: PT-CR-288: Unix_Suspicious_Activity_By_Web_User: Локальная разведка ОС от имени веб-службы
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Используйте глубокую проверку пакетов для поиска артефактов типового трафика эксплойтов, например строк для SQL-инъекций или известных полезных нагрузок. Например, отслеживайте последовательно идущую цепочку функций (то есть цепочку гаджетов), которую злоумышленники обычно используют посредством небезопасной десериализации для эксплуатации общедоступных приложений с целью получения первоначального доступа. |
---|
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Обнаружить эксплуатацию ПО бывает непросто — эффективность зависит от доступных вам инструментов. Эксплуатация ПО не всегда проходит успешно и может привести к нестабильности или сбою в работе эксплуатируемого процесса. Межсетевые экраны веб-приложений могут обнаруживать посторонние объекты, использующиеся для эксплуатации. |
---|
Меры противодействия
ID | M1016 | Название | Поиск уязвимостей | Описание | Регулярно сканируйте внешние системы на наличие уязвимостей и настройте процедуры для быстрого исправления систем в случае публичного раскрытия уязвимостей или выявления уязвимостей в ходе сканирования. |
---|
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Использование наименьших привилегий для служебных учетных записей ограничит права, которые получает эксплуатируемый процесс на остальную часть системы. |
---|
ID | M1030 | Название | Сегментация сети | Описание | Отделите внешние серверы и службы от остальной сети с помощью DMZ или отдельной инфраструктуры хостинга. |
---|
ID | M1048 | Название | Изоляция и помещение в песочницу приложений | Описание | Изоляция приложений ограничит доступ к другим процессам и системным функциям объекта атаки. |
---|
ID | M1050 | Название | Защита от эксплойтов | Описание | Межсетевые экраны веб-приложений могут использоваться для ограничения воздействия на приложения, чтобы предотвратить попадание трафика эксплойтов в приложение. |
---|
ID | M1051 | Название | Обновление ПО | Описание | Регулярно обновляйте программное обеспечение, используя управление исправлениями для внешних приложений. |
---|