Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-1220
Insufficient Granularity of Access Control
The product implements access controls via a policy or other feature with the intention to disable or restrict accesses (reads and/or writes) to assets in a system from untrusted agents. However, implemented access controls lack required granularity, which renders the control policy too broad because it allows accesses from unauthorized agents to the security-sensitive assets.
| Тип уязвимости: | Не зависит от других уязвимостей |
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2024-02285 | Уязвимость службы управления системой доменных имен Designate платформы для построения облачных решений OpenStack Platform, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-07997 | Уязвимость почтового клиента Microsoft Outlook for Android, связанная с недостатками разграничения доступа, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-00847 | Уязвимость модуля Email Contact CMS-системы Drupal, позволяющая нарушителю обойти ограничения безопасности и реализовать атаку принудительного просмотра (Forceful Browsing) |
| BDU:2025-00859 | Уязвимость модуля Paragraphs table CMS-системы Drupal, связанная с недостатками разграничения доступа, позволяющая нарушителю обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации |
| BDU:2025-02098 | Уязвимость микропрограммного обеспечения UEFI процессоров Intel, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-02111 | Уязвимость функционала мониторинга работоспособности операционной системы Cisco NX-OS коммутаторов Cisco Nexus 3000 и Nexus 9000, связанная с недостатками разграничения доступа, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-02151 | Уязвимость сервера бизнес-аналитики Hitachi Vantara Pentaho Business Analytics Server, связанная с недостатками разграничения доступа, позволяющая нарушителю обойти ограничения безопасности и получить несанкционированный доступ к системе |
| BDU:2025-03516 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с недостатками разграничения доступа, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-03857 | Уязвимость операционных систем Dell EMC Data Domain Operating System (DD OS), связанная с недостатками разграничения доступа, позволяющая нарушителю повысить свои привилегии и выполнить произвольные команды |
| BDU:2025-04560 | Уязвимость модуля Subscriptions интерфейса GraphQL API программной платформы на базе git для совместной работы над кодом GitLab, позволяющая нарушителю обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации |
| BDU:2025-04863 | Уязвимость централизованной системы по управлению идентификацией пользователей FreeIPA, связанная с неправильным контролем доступа, позволяющая нарушителю повысить свои привилегии до уровня администратора домена и оказать воздействие на конфиденциаль... |
| BDU:2025-05741 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с недостатками разграничения доступа, позволяющая нарушителю обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации |
| BDU:2025-05788 | Уязвимость средства разработки программного обеспечения Microsoft Visual Studio, связанная с недостаточной защитой служебных данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-07638 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab Enterprise Edition, связанная с недостатками разграничения доступа, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2025-08681 | Уязвимость функции double-check веб-интерфейса микропрограммного обеспечения цифровых оптических сетевых систем Infinera G42, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-09117 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с недостатками разграничения доступа, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-10980 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab EE/CE, связанная с недостатками разграничения доступа, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-14421 | Уязвимость сервера FreeIpa, связанная с недостатками разграничения доступа, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-15236 | Уязвимость микропрограммного обеспечения процессоров Intel Xeon, связанная с недостаточной детализацией контроля доступа, позволяющая нарушителю повысить свои привилегии |
| BDU:2026-00221 | Уязвимость веб-интерфейса платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2026-00414 | Уязвимость среды выполнения запросов GraphQL программной платформы на базе git для совместной работы над кодом GitLab, позволяющая нарушителю оказать воздействие на целостность и доступность защищаемой информации |
| BDU:2026-01879 | Уязвимость технологии Secure Encrypted Virtualization (SEV) микропрограммного обеспечения процессоров AMD, позволяющая нарушителю оказать воздействие на конфиденциальность защищаемой информации |
| BDU:2026-01880 | Уязвимость технологии Secure Encrypted Virtualization (SEV) микропрограммного обеспечения процессоров AMD, позволяющая нарушителю оказать воздействие на конфиденциальность защищаемой информации |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2021-31384 | Junos OS: SRX Series: Under a specific device configuration an attacker can access the devices J-Web management services from... |
| CVE-2022-1177 | Accounting User Can Download Patient Reports in openemr in openemr/openemr |
| CVE-2022-1461 | Non Privilege User can Enable or Disable Registered in openemr/openemr |
| CVE-2022-2475 | Haas Controller version 100.20.000.1110 has insufficient granularity of access control when using the "Ethernet Q Commands" s... |
| CVE-2022-36110 | Netmaker vulnerable to Insufficient Granularity of Access Control |
| CVE-2022-4801 | Insufficient Granularity of Access Control in usememos/memos |
| CVE-2022-4813 | Insufficient Granularity of Access Control in usememos/memos |
| CVE-2023-0203 | NVIDIA ConnectX-5, ConnectX-6, and ConnectX6-DX contain a vulnerability in the NIC firmware, where an unprivileged user can e... |
| CVE-2023-0205 | NVIDIA ConnectX-5, ConnectX-6, and ConnectX6-DX contain a vulnerability in the NIC firmware, where an unprivileged user can e... |
| CVE-2023-27591 | Unauthenticated Miniflux user can bypass allowed networks check to obtain Prometheus metrics |
| CVE-2023-31342 | Improper input validation in the SMM handler may allow a privileged attacker to overwrite SMRAM, potentially leading to arbit... |
| CVE-2023-31343 | Improper input validation in the SMM handler may allow a privileged attacker to overwrite SMRAM, potentially leading to arbit... |
| CVE-2023-32259 | Potential Insufficient Access Control vulnerability has been identified in OpenText™ SMAX/AMX products. |
| CVE-2023-3227 | Insufficient Granularity of Access Control in fossbilling/fossbilling |
| CVE-2023-33127 | .NET and Visual Studio Elevation of Privilege Vulnerability |
| CVE-2023-39418 | Postgresql: merge fails to enforce update or select row security policies |
| CVE-2023-43040 | IBM Spectrum Fusion HCI improper access control |
| CVE-2023-44285 | Dell PowerProtect DD, versions prior to 7.13.0.10, LTS 7.7.5.25, LTS 7.10.1.15, 6.2.1.110 contain an improper access control... |
| CVE-2023-4456 | Openshift-logging: lokistack authorisation is cached too broadly |
| CVE-2023-50713 | Speckle Server API Token Privilege Escalation |
| CVE-2023-6725 | Tripleo-ansible: bind keys are world readable |
| CVE-2024-11931 | Insufficient Granularity of Access Control in GitLab |
| CVE-2024-12619 | Insufficient Granularity of Access Control in GitLab |
| CVE-2024-13256 | Email Contact - Moderately critical - Access bypass - SA-CONTRIB-2024-020 |
| CVE-2024-13272 | Paragraphs table - Critical - Access bypass, Information Disclosure - SA-CONTRIB-2024-036 |
| CVE-2024-2035 | Improper Authorization in zenml-io/zenml |
| CVE-2024-21947 | Improper input validation in the system management mode (SMM) could allow a privileged attacker to overwrite arbitrary memory... |
| CVE-2024-21971 | Improper input validation in AMD Crash Defender could allow an attacker to provide the Windows® system process ID to a kernel... |
| CVE-2024-2412 | Heimavista Rpage and Epage - Broken Access Control |
| CVE-2024-26246 | Microsoft Edge (Chromium-based) Security Feature Bypass Vulnerability |
| CVE-2024-29200 | API returns timesheet entries a user should not be authorized to view |
| CVE-2024-33058 | Insufficient Granularity of Access Control in Core |
| CVE-2024-39279 | Insufficient granularity of access control in UEFI firmware in some Intel(R) processors may allow a authenticated user to pot... |
| CVE-2024-39323 | aimeos/ai-admin-graphql improper access control vulnerability allows an editor to modify admin account |
| CVE-2024-39324 | aimeos/ai-admin-graphql improper access control vulnerability allows editors to manage own services |
| CVE-2024-42365 | Asterisk allows `Write=originate` as sufficient permissions for code execution / `System()` dialplan |
| CVE-2024-43604 | Outlook for Android Elevation of Privilege Vulnerability |
| CVE-2024-52799 | Argo Workflows Chart: Excessive Privileges in Workflow Role |
| CVE-2024-52814 | Helm Lacks Granularity in Workflow Role |
| CVE-2024-53295 | Dell PowerProtect DD versions prior to 8.3.0.0, 7.10.1.50, and 7.13.1.20 contain an improper access control vulnerability. A... |
| CVE-2024-5389 | Insufficient Access Control in lunary-ai/lunary |
| CVE-2024-6696 | Hitachi Vantara Pentaho Business Analytics Server - Insufficient Granularity of Access Control |
| CVE-2024-6867 | Information Disclosure in lunary-ai/lunary |
| CVE-2025-1110 | Insufficient Granularity of Access Control in GitLab |
| CVE-2025-1278 | Insufficient Granularity of Access Control in GitLab |
| CVE-2025-20111 | Cisco Nexus 3000 and 9000 Series Switches Layer 2 Ethernet Denial of Service Vulnerability |
| CVE-2025-20305 | A vulnerability in the web-based management interface of Cisco ISE could allow an authenticated, remote attacker to obtain se... |
| CVE-2025-22839 | Insufficient granularity of access control in the OOB-MSM for some Intel(R) Xeon(R) 6 Scalable processors may allow a privile... |
| CVE-2025-2408 | Insufficient Granularity of Access Control in GitLab |
| CVE-2025-2498 | Insufficient Granularity of Access Control in GitLab |
| CVE-2025-27026 | Improper Access Control Granularity impacting Infinera G42 |
| CVE-2025-29987 | Dell PowerProtect Data Domain with Data Domain Operating System (DD OS) versions prior to 8.3.0.15 contain an Insufficient Gr... |
| CVE-2025-31961 | HCL Connections is vulnerable to broken access control |
| CVE-2025-32703 | Visual Studio Information Disclosure Vulnerability |
| CVE-2025-3648 | Data Inference in Now Platform via Conditional ACLs |
| CVE-2025-4404 | Freeipa: idm: privilege escalation from host to domain admin in freeipa |
| CVE-2025-4979 | Insufficient Granularity of Access Control in GitLab |
| CVE-2025-54461 | ChatLuck contains an insufficient granularity of access control vulnerability in Invitation of Guest Users. If exploited, an... |
| CVE-2025-5982 | Insufficient Granularity of Access Control in GitLab |
| CVE-2025-7001 | Insufficient Granularity of Access Control in GitLab |
| CVE-2025-7493 | Freeipa: idm: privilege escalation from host to domain admin in freeipa |
| CVE-2025-8049 | Insufficient Access Control vulnerability has been discovered in OpenText Flipper. |
| CVE-2025-8053 | Insufficient access control vulnerability has been discovered in Opentext Flipper. |
| CVE-2025-8306 | Improper Access Control in Asseco Infomedica Plus |
| CVE-2026-0873 | Privilege Elevation in Ercom Cryptobox administration console |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.