УБИ.006: Угроза внедрения кода или данных

Описание угрозы Угроза заключается в возможности внедрения нарушителем в дискредитируемую информационную систему или IoT-устройство вредоносного кода, который может быть в дальнейшем запущен «вручную» пользователями, автоматически при выполнении определённого условия (наступления определённой даты, входа пользователя в систему и т.п.) или с использованием аутентификационных данных, заданных «по умолчанию», а также в возможности несанкционированного внедрения нарушителем некоторых собственных данных для обработки в дискредитируемую информационную систему, фактически осуществив незаконное использование чужих вычислительных ресурсов, и блокирования работы устройства при выполнении определенных команд.
Данная угроза обусловлена:
наличием уязвимостей программного обеспечения;
слабостями мер антивирусной защиты и разграничения доступа;
наличием открытого Telnet-порта на IoT-устройстве (только для IoT-устройств).
Реализация данной угрозы возможна:
в случае работы дискредитируемого пользователя с файлами, поступающими из недоверенных источников;
при наличии у него привилегий установки программного обеспечения;
в случае неизмененных владельцем учетных данных IoT-устройства (заводских пароля и логина)
Источники угрозы
  • Внешний нарушитель с низким потенциалом
Объект воздействия Системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение
Последствия реализации угрозы
  • Нарушение конфиденциальности
  • Нарушение целостности
  • Нарушение доступности