T1190: Недостатки в общедоступном приложении

Злоумышленники могут попытаться использовать уязвимость на хосте или в системе, доступных из интернета, чтобы получить первоначальный доступ к сети. Уязвимостью в системе может быть программная ошибка, временный сбой или неправильная конфигурация.

Чаще всего объектом эксплуатации становятся веб-сайты или веб-серверы, но также это могут быть базы данных (например, SQL), стандартные службы (например, SMB или SSH), протоколы управления сетевыми устройствами (например, SNMP и Smart Install), а также любые другие системы с открытыми сокетами, доступными из интернета. В зависимости от используемой уязвимости также могут применяться техники Эксплуатация уязвимостей для предотвращения обнаружения или Эксплуатация уязвимостей в клиентском ПО.

Если приложение размещено в облачной инфраструктуре и (или) контейнере, его эксплуатация может привести к компрометации экземпляра или контейнера, в котором оно находится. Благодаря этому злоумышленник может получить доступ к облаку или API контейнера, эксплуатировать доступ к хосту контейнера посредством выхода за пределы контейнера или воспользоваться слабыми политиками управления идентификацией и доступом.

Злоумышленники также могут эксплуатировать инфраструктуру пограничных сетей, целенаправленно атакуя устройства, не обладающие надежной защитой на уровне хоста.

Наиболее распространенные веб-уязвимости для сайтов и баз данных можно найти в рейтингах OWASP Top 10 и CWE Top 25.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

postfix: PT-CR-2715: Postfix_Shellshock_On_Patched_Version: Возможная эксплуатация уязвимости CVE-2014-6271 (Shellshock) в версиях Postfix, где эта уязвимость устранена pt_nad: PT-CR-730: NAD_CVE_On_Vulnerable_Host: PT NAD обнаружил попытку эксплуатации уязвимости network_devices_abnormal_activity: PT-CR-475: Smart_Install_Usage: Возможная эксплуатация уязвимостей в Cisco Smart Install process_chains_and_logons: PT-CR-953: Suspicious_Webserver_Process_Chain: Подозрительная цепочка запуска процессов для утилит веб-сервера unix_mitre_attck_initial_access: PT-CR-288: Unix_Suspicious_Activity_By_Web_User: Выполнены подозрительные команды от имени веб-службы: команды локальной разведки, команды, относящиеся к инструментам анализа защищенности, или другие команды, текущая рабочая директория которых соответствует каталогу веб-сервера vulnerabilities: PT-CR-2065: CVE_2023_46604_ActiveMQ_RCE: Возможная эксплуатация уязвимости CVE-2023-46604 в сервисе Apache ActiveMQ для удаленного выполнения кода vulnerabilities: PT-CR-2486: Sharepoint_Remote_Code_Execution: Эксплуатация уязвимости CVE-2024-38023, CVE-2024-38024 или CVE-2024-38094 в Microsoft SharePoint Server. Такие уязвимости позволяют пользователю с правами владельца сайта после прохождения аутентификации загрузить вредоносный файл на целевой сервер SharePoint и выполнить API-запросы для запуска десериализации параметров файла. Это необходимо злоумышленнику для удаленного выполнения произвольного кода vulnerabilities: PT-CR-2836: CVE_2024_9474_PaloAlto_Command_Injection: Эксплуатация уязвимости CVE-2024-9474, позволяющей пользователям, аутентифицированным в Palo Alto Networks PAN-OS, выполнять команды от имени пользователя root. Уязвимость часто эксплуатируется вместе с CVE-2024-0012, позволяющей обойти аутентификацию в Palo Alto Networks vulnerabilities: PT-CR-2776: CVE_2024_49040_Exchange_Sender_Address_Spoffing: Несоответствие SMTP-заголовков "From" и "Return-Path" в событиях транспортной системы MS Exchange Server. Это может быть признаком эксплуатации уязвимости CVE-2024-49040 (повышение доверия пользователя к фишинговому сообщению путем замены отображаемого адреса отправителя на легитимный) vulnerabilities: PT-CR-1994: CVE_2023_22515_Confluence: Эксплуатация уязвимости CVE-2023-22515 в Confluence, которая позволяет создавать учетные записи с правами администратора без аутентификации на сервере vulnerabilities: PT-CR-2433: CVE_2024_21683_Confluence_RCE: Эксплуатация уязвимости CVE-2024-21683 в Confluence. Уязвимость позволяет пользователю, прошедшему проверку подлинности, загрузить и выполнить произвольный вредоносный код через функцию "Добавить новый язык" в разделе настройки макроса "Code" vulnerabilities: PT-CR-2281: CVE_2024_23897_Jenkins_Arbitrary_File_Read: Эксплуатация уязвимости CVE-2024-23897 в Jenkins. Злоумышленник может получить содержимое произвольного файла через интерфейс командной строки Jenkins посредством добавления символа @ к пути файла vulnerabilities: PT-CR-2064: Subrule_ActiveMQ_Connect: Подключение к сервису Apache ActiveMQ vulnerabilities: PT-CR-2943: CVE_2025_24813_Tomcat_RCE: Попытка эксплуатации уязвимости CVE-2025-24813 в Apache Tomcat, позволяющей удаленно выполнять произвольный код. Злоумышленники загружают сериализованный файл сессии методом PUT на сервер, а затем с помощью запроса GET с именем этого файла в параметре JSESSIONID запускают процесс десериализации и исполнения полезной нагрузки vulnerabilities: PT-CR-2405: CVE_2024_24919_CheckPoint_Information_Disclosure: Эксплуатация уязвимости CVE-2024-24919, которая позволяет злоумышленникам читать любые файлы на устройствах межсетевого экранирования Check Point без авторизации. Уязвимость содержится в продуктах Check Point с включенными программными блейдами IPSec VPN, Remote Access VPN и Mobile Access vulnerabilities: PT-CR-2091: CVE_2022_26134_Confluence_RCE: Эксплуатация уязвимости CVE-2022-26134 в Confluence. Это позволит злоумышленникам внедрить OGNL-код, чтобы затем, действуя удаленно, выполнить произвольный код без проверки подлинности на сервере vulnerabilities: PT-CR-1983: Possible_CVE_2023_20198_Cisco_IOS_XE: Возможная эксплуатация уязвимости CVE-2023-20198 в Cisco IOS XE, связанная с повышением привилегий путем создания новой учетной записи администратора vulnerabilities: PT-CR-2942: Subrule_CVE_2025_24813_Tomcat_RCE: Эксплуатация уязвимости CVE-2025-24813 в Apache Tomcat, позволяющей удаленно выполнять произвольный код. Злоумышленники загружают сериализованный файл сессии методом PUT на сервер, а затем с помощью запроса GET с именем этого файла в параметре JSESSIONID запускают процесс десериализации и исполнения полезной нагрузки vulnerabilities: PT-CR-2431: Subrule_CVE_2024_21683_Confluence_RCE: Успешный POST-запрос к функции Confluence "Добавить новый язык" в разделе настройки макроса "Code" от пользователя, прошедшего проверку подлинности. Это может свидетельствовать об эксплуатации уязвимости CVE-2024-21683, позволяющей выполнить произвольный код на узле с сервером Confluence vulnerabilities: PT-CR-2455: CVE_2024_4577_PHP_CGI_RCE: Эксплуатация уязвимости CVE-2024-4577 в PHP для Windows, где PHP используется в режиме CGI. Уязвимость позволяет неавторизованному злоумышленнику удаленно выполнить произвольный код на веб-сервере. На момент разработки данного правила воспроизвести атаку можно только в операционных системах Windows, в которых установлен китайский (как упрощенный, так и традиционный) или японский язык. Уязвимость заключается в некорректной обработке юникода, а именно символа 0xAD (мягкий перенос), который интерпретируется обработчиком CGI как обычный дефис. Это позволяет злоумышленникам указывать для PHP дополнительные аргументы командной строки, начинающиеся с дефиса vulnerabilities: PT-CR-1917: CMS_1C_Bitrix_Race_Landing_Exploit: Возможная эксплуатация уязвимости модуля landing системы управления содержимым сайтов (CMS) 1С-Битрикс: Управление сайтом vulnerabilities: PT-CR-2873: CVE_2024_47575_FortiJump_FortiManager_RCE: Незарегистрированное устройство добавлено в систему централизованного управления FortiManager. Это может быть признаком эксплуатации уязвимости CVE-2024-47575 для удаленного выполнения произвольного кода на сервере FortiManager. Злоумышленник использует специальные запросы, чтобы выполнить код без аутентификации от имени системы по протоколу FGFM vulnerabilities: PT-CR-2293: CVE_2024_27198_TeamCity_Authentication_Bypass: Эксплуатация уязвимости CVE-2024-27198 в TeamCity. Уязвимость позволяет злоумышленнику обойти процесс аутентификации, чтобы создать нового пользователя TeamCity с правами администратора или токен доступа для пользователя. Это может быть использовано для удаленного выполнения команд vulnerabilities: PT-CR-2247: CVE_2023_27350_PaperCut_Authentication_Bypass: Подозрительная цепочка запуска процессов для приложения PaperCut NG/MF. Это может указывать на эксплуатацию уязвимости CVE-2023-27350 и выполнение вредоносного кода с использованием встроенной функциональности PaperCut NG/MF: сценариев печати и интеграции со сторонними инструментами для авторизации network_devices_compromise: PT-CR-575: Smart_Install_Exploitation_Tool_Usage: Обнаружено использование эксплойта Smart Install Exploitation Tool network_devices_compromise: PT-CR-571: Cisco_IOS_Change_Config_By_SNMP: На устройстве конфигурационный файл изменен с недоверенного узла network_devices_compromise: PT-CR-576: CheckPoint_SmartConsole_Connection: Обнаружено подключение с помощью утилиты CheckPoint SmartConsole с недоверенного узла mitre_attck_execution: PT-CR-649: Suspicious_Child_From_Webserver_Process: Пользователь запустил процесс от родительского процесса веб-сервера mitre_attck_execution: PT-CR-645: Recon_Via_Webserver_Process: Пользователь запустил процесс от родительского процесса microsoft_exchange: PT-CR-1476: Exchange_ProxyNotShell: Эксплуатация уязвимости ProxyNotShell из пакета Metasploit pt_application_firewall: PT-CR-1896: PTAF_Path_Traversal_Detected: Приложение PT AF обнаружило попытку атаки Path Traversal pt_application_firewall: PT-CR-1882: PTAF_XSS_Attack_Detected: Приложение PT AF обнаружило попытку атаки XSS (межсайтовый скриптинг) pt_application_firewall: PT-CR-639: PTAF_Alert_Detected: Сработало правило PT AF pt_application_firewall: PT-CR-1897: PTAF_LFI_Detected: Приложение PT AF обнаружило попытку эксплуатации уязвимости LFI (Local File Inclusion) pt_application_firewall: PT-CR-637: PTAF_Reflected_File_Download_Detected: Приложение PT AF обнаружило атаку с отраженной загрузкой файла (RFD) pt_application_firewall: PT-CR-1907: PTAF_CVE_Detected: Приложение PT AF обнаружило попытку эксплуатации уязвимости pt_application_firewall: PT-CR-1884: PTAF_SQL_Injection_Detected: Приложение PT AF обнаружило попытку атаки типа "Внедрение SQL-кода"

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Используйте глубокую проверку пакетов для поиска артефактов типового трафика эксплойтов, например строк для SQL-инъекций или известных полезных нагрузок. Например, отслеживайте последовательно идущую цепочку функций (то есть цепочку гаджетов), которую злоумышленники обычно используют посредством небезопасной десериализации для эксплуатации общедоступных приложений с целью получения первоначального доступа.

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Обнаружить эксплуатацию ПО бывает непросто — эффективность зависит от доступных вам инструментов. Эксплуатация ПО не всегда проходит успешно и может привести к нестабильности или сбою в работе эксплуатируемого процесса. Межсетевые экраны веб-приложений могут обнаруживать посторонние объекты, использующиеся для эксплуатации.

Меры противодействия

IDM1016НазваниеПоиск уязвимостейОписание

Регулярно сканируйте внешние системы на наличие уязвимостей и настройте процедуры для быстрого исправления систем в случае публичного раскрытия уязвимостей или выявления уязвимостей в ходе сканирования.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Использование наименьших привилегий для служебных учетных записей ограничит права, которые получает эксплуатируемый процесс на остальную часть системы.

IDM1030НазваниеСегментация сетиОписание

Отделите внешние серверы и службы от остальной сети с помощью DMZ или отдельной инфраструктуры хостинга.

IDM1048НазваниеИзоляция и помещение в песочницу приложенийОписание

Изоляция приложений ограничит доступ к другим процессам и системным функциям объекта атаки.

IDM1050НазваниеЗащита от эксплойтовОписание

Межсетевые экраны веб-приложений могут использоваться для ограничения воздействия на приложения, чтобы предотвратить попадание трафика эксплойтов в приложение.

IDM1051НазваниеОбновление ПООписание

Регулярно обновляйте программное обеспечение, используя управление исправлениями для внешних приложений.