Большинство этих уязвимостей позволяют осуществить удаленное выполнение кода (Remote Code Execution), что делает их одними из самых опасных угроз по классификации OWASP. Возможность удаленного выполнения кода на сервере приводит к взлому ресурса в 100% случаев.
«С наступлением пандемии злоумышленники стали уделять больше внимания промышленным объектам. По нашим наблюдениям, во втором квартале доля атак на предприятия реального сектора выросла с 10% до 15%. Наибольший интерес проявляют операторы шифровальщиков и кибершпионские APT[1]-группы, которые используют не только специфические уязвимости в прикладном ПО и технологическом оборудовании, но и уязвимости в сетевом оборудовании и в операционных системах Windows, которые широко распространены в системах промышленной автоматизации», ― отмечает Дмитрий Даренский, руководитель практики промышленной кибербезопасности Positive Technologies.
Одна из уязвимостей, эксплуатацию которой выявляет PT ISIM, известна как BlueKeep[2]. По данным экспертного центра безопасности Positive Technologies (PT Expert Security Center), в конце марта 2020 года она встречалась более чем в 10% открытых удаленных рабочих столах и позволяла злоумышленнику получить полный контроль над компьютером на базе Windows.
Новый пакет экспертизы дает возможность идентифицировать удаленное выполнение кода через Windows DNS server и Windows SMBv3, попытки удаленной установки уязвимой версии ПО MikroTik RouterOS, переполнение буфера в коммутаторах Cisco и другие угрозы.
Это уже третий пакет экспертизы в PT ISIM. Ранее были опубликованы правила, позволяющие обнаружить попытки эксфильтрации данных и туннелирования соединений из АСУ ТП, а также специализированные индикаторы угроз для оборудования и систем B&R Industrial Automation.
Пакеты экспертизы дополняют входящую в PT ISIM базу индикаторов промышленных киберугроз PT ISTI, которая содержит более 4000 сигнатур и правил обнаружения различных атак на оборудование ABB, Emerson, Hirschmann, Schneider Electric, Siemens, Yokogawa и других производителей систем АСУ ТП.
[1] Advanced persistent threat, APT — сложная целенаправленная атака.
[2] Уязвимости BlueKeep, обнаруженной в 2019 году, подвержены системы Windows 7, Windows Server 2008 и Windows Server 2008 R2.