Эксплуатация приложения, доступного из интернета

Оригинал: Exploit Public-Facing Application

Злоумышленники могут пытаться использовать слабое место в доступном из интернета компьютере или программе с помощью ПО, данных или команд, чтобы вызвать непреднамеренное или непредусмотренное поведение. Слабое место в системе может быть ошибкой, сбоем или проектной уязвимостью. Такие приложения часто являются веб-сайтами, но могут также включать базы данных (например, SQL), стандартные сервисы (например, SMB или SSH), протоколы администрирования и управления сетевыми устройствами (например, SNMP и Smart Install), а также любые другие приложения с открытыми сокетами, доступными из интернета, например веб-серверы и связанные сервисы.

Тактики

Примеры процедур из кейсов

AML.CS0023ShadowRayАктор: Ray / Тактика: AML.TA0004 Первичный доступ

После обнаружения открытых кластеров Ray злоумышленники могут использовать Jobs API для запуска заданий на доступных кластерах. Jobs API не поддерживает авторизацию, поэтому любой, у кого есть сетевой доступ к кластеру, может удаленно выполнить произвольный код.

AML.CS0028Подмена ИИ-модели через атаку на цепочку поставокАктор: Trend Micro Nebula Cloud Research Team / Тактика: AML.TA0004 Первичный доступ

Исследователи смогли воспользоваться ошибочно настроенными реестрами и скачать контейнерные образы без аутентификации. В общей сложности они скачали несколько терабайт данных, содержащих более 20 000 образов.

AML.CS0030LLM-джекингАктор: Unknown / Тактика: AML.TA0004 Первичный доступ

Злоумышленники воспользовались уязвимой версией Laravel ([CVE-2021-3129](https://www.cve.org/CVERecord?id=CVE-2021-3129)), чтобы получить первичный доступ к системам жертв.

AML.CS0048Публично доступные интерфейсы управления ClawdBot позволили получить учетные данные и выполнить командыАктор: Jamieson O'Reilly / Тактика: AML.TA0004 Первичный доступ

Исследователь воспользовался ошибочной конфигурацией прокси на сервере управления ClawdBot и получил доступ к интерфейсам управления с включенной аутентификацией.

AML.CS0052LLMSmith: уязвимости RCE в приложениях с интеграцией LLMАктор: Researchers at University of Chinese Academy of Sciences, Shandong University, and University of New South Wales / Тактика: AML.TA0004 Первичный доступ

Исследователи нацеливались на публично доступные приложения, где ИИ-агент принимает пользовательский ввод, чтобы через него выполнить свои промпты.