30/10/20
В PT Industrial Security Incident Manager (PT ISIM) появился новый пакет экспертизы, позволяющий подразделениям ИБ детектировать попытки эксплуатации уязвимостей в роутерах MikroTik, коммутаторах Cisco, популярной службе удаленного рабочего стола (Remote Desktop Protocol, RDP) Windows и в других компонентах Windows.
Большинство этих уязвимостей позволяют осуществить удаленное выполнение кода (Remote Code Execution), что делает их одними из самых опасных угроз по классификации OWASP. Возможность удаленного выполнения кода на сервере приводит к взлому ресурса в 100% случаев.
«С наступлением пандемии злоумышленники стали уделять больше внимания промышленным объектам. По нашим наблюдениям, во втором квартале доля атак на предприятия реального сектора выросла с 10% до 15%. Наибольший интерес проявляют операторы шифровальщиков и кибершпионские APT[1]-группы, которые используют не только специфические уязвимости в прикладном ПО и технологическом оборудовании, но и уязвимости в сетевом оборудовании и в операционных системах Windows, которые широко распространены в системах промышленной автоматизации», ― отмечает Дмитрий Даренский, руководитель практики промышленной кибербезопасности Positive Technologies.
Одна из уязвимостей, эксплуатацию которой выявляет PT ISIM, известна как BlueKeep[2]. По данным экспертного центра безопасности Positive Technologies (PT Expert Security Center), в конце марта 2020 года она встречалась более чем в 10% открытых удаленных рабочих столах и позволяла злоумышленнику получить полный контроль над компьютером на базе Windows.
Новый пакет экспертизы дает возможность идентифицировать удаленное выполнение кода через Windows DNS server и Windows SMBv3, попытки удаленной установки уязвимой версии ПО MikroTik RouterOS, переполнение буфера в коммутаторах Cisco и другие угрозы.
Это уже третий пакет экспертизы в PT ISIM. Ранее были опубликованы правила, позволяющие обнаружить попытки эксфильтрации данных и туннелирования соединений из АСУ ТП, а также специализированные индикаторы угроз для оборудования и систем B&R Industrial Automation.
Пакеты экспертизы дополняют входящую в PT ISIM базу индикаторов промышленных киберугроз PT ISTI, которая содержит более 4000 сигнатур и правил обнаружения различных атак на оборудование ABB, Emerson, Hirschmann, Schneider Electric, Siemens, Yokogawa и других производителей систем АСУ ТП.
[1] Advanced persistent threat, APT — сложная целенаправленная атака.
[2] Уязвимости BlueKeep, обнаруженной в 2019 году, подвержены системы Windows 7, Windows Server 2008 и Windows Server 2008 R2.
