Эксплуатация приложения, доступного из интернета
Оригинал: Exploit Public-Facing Application
Злоумышленники могут пытаться использовать слабое место в доступном из интернета компьютере или программе с помощью ПО, данных или команд, чтобы вызвать непреднамеренное или непредусмотренное поведение. Слабое место в системе может быть ошибкой, сбоем или проектной уязвимостью. Такие приложения часто являются веб-сайтами, но могут также включать базы данных (например, SQL), стандартные сервисы (например, SMB или SSH), протоколы администрирования и управления сетевыми устройствами (например, SNMP и Smart Install), а также любые другие приложения с открытыми сокетами, доступными из интернета, например веб-серверы и связанные сервисы.
Тактики
Примеры процедур из кейсов
После обнаружения открытых кластеров Ray злоумышленники могут использовать Jobs API для запуска заданий на доступных кластерах. Jobs API не поддерживает авторизацию, поэтому любой, у кого есть сетевой доступ к кластеру, может удаленно выполнить произвольный код.
AML.CS0028Подмена ИИ-модели через атаку на цепочку поставокИсследователи смогли воспользоваться ошибочно настроенными реестрами и скачать контейнерные образы без аутентификации. В общей сложности они скачали несколько терабайт данных, содержащих более 20 000 образов.
AML.CS0030LLM-джекингЗлоумышленники воспользовались уязвимой версией Laravel ([CVE-2021-3129](https://www.cve.org/CVERecord?id=CVE-2021-3129)), чтобы получить первичный доступ к системам жертв.
AML.CS0048Публично доступные интерфейсы управления ClawdBot позволили получить учетные данные и выполнить командыИсследователь воспользовался ошибочной конфигурацией прокси на сервере управления ClawdBot и получил доступ к интерфейсам управления с включенной аутентификацией.
AML.CS0052LLMSmith: уязвимости RCE в приложениях с интеграцией LLMИсследователи нацеливались на публично доступные приложения, где ИИ-агент принимает пользовательский ввод, чтобы через него выполнить свои промпты.