PT ISIM выявляет эксплуатацию уязвимостей в службе удалённого рабочего стола Windows, коммутаторах Cisco и роутерах MikroTik

В PT Industrial Security Incident Manager (PT ISIM) появился новый пакет экспертизы, позволяющий подразделениям ИБ детектировать попытки эксплуатации уязвимостей в роутерах MikroTik, коммутаторах Cisco, популярной службе удалённого рабочего стола (Remote Desktop Protocol, RDP) Windows и в других компонентах Windows.

Большинство этих уязвимостей позволяют осуществить удалённое выполнение кода (Remote Code Execution), что делает их одними из самых опасных угроз по классификации OWASP. Возможность удалённого выполнения кода на сервере приводит к взлому ресурса в 100% случаев.

«С наступлением пандемии злоумышленники стали уделять больше внимания промышленным объектам. По нашим наблюдениям, во втором квартале доля атак на предприятия реального сектора выросла с 10% до 15%. Наибольший интерес проявляют операторы шифровальщиков и кибершпионские APT-группы, которые используют не только специфические уязвимости в прикладном ПО и технологическом оборудовании, но и уязвимости в сетевом оборудовании и в операционных системах Windows, которые широко распространены в системах промышленной автоматизации», ― отмечает Дмитрий Даренский, руководитель практики промышленной кибербезопасности Positive Technologies.

Одна из уязвимостей, эксплуатацию которой выявляет PT ISIM, известна как BlueKeep. По данным экспертного центра безопасности Positive Technologies (PT Expert Security Center), в конце марта 2020 года она встречалась более чем в 10% открытых удалённых рабочих столах и позволяла злоумышленнику получить полный контроль над компьютером на базе Windows.

Новый пакет экспертизы даёт возможность идентифицировать удалённое выполнение кода через Windows DNS server и Windows SMBv3, попытки удалённой установки уязвимой версии ПО MikroTik RouterOS, переполнение буфера в коммутаторах Cisco и другие угрозы.

Это уже третий пакет экспертизы в PT ISIM. Ранее были опубликованы правила, позволяющие обнаружить попытки эксфильтрации данных и туннелирования соединений из АСУ ТП, а также специализированные индикаторы угроз для оборудования и систем B&R Industrial Automation.

Пакеты экспертизы дополняют входящую в PT ISIM базу индикаторов промышленных киберугроз PT ISTI, которая содержит более 4000 сигнатур и правил обнаружения различных атак на оборудование ABB, Emerson, Hirschmann, Schneider Electric, Siemens, Yokogawa и других производителей систем АСУ ТП.

ptsecurity.com