В PT Industrial Security Incident Manager появилась возможность пополнять базу знаний пакетами экспертизы

Базу индикаторов промышленных киберугроз программно-аппаратного комплекса глубокого анализа технологического трафика PT Industrial Security Incident Manager (PT ISIM) теперь можно пополнять пакетами экспертизы ИБ. Первый экспертный пакет уже доступен пользователям для загрузки. Он включает в себя правила обнаружения угроз для оборудования и систем австрийской компании B&R Industrial Automation, которые применяются в нефтегазовой, горнодобывающей, перерабатывающей промышленности и других отраслях. 
Первый пакет экспертизы включает специализированные индикаторы угроз для оборудования и систем B&R Industrial Automation (ПЛК серии X20 и системы управления производственными процессами APROL). Они помогут специалистам по ИБ, работающим с PT ISIM, выявлять в трафике признаки эксплуатации уязвимостей во всем стеке протоколов B&R (ANSL, INA2000, IOSHTTP, IOSYS и др.) и детектировать потенциально опасные команды управления оборудованием производства B&R Industrial Automation. Своевременное обнаружение такой активности позволит предотвратить несанкционированное изменение режимов работы АСУ ТП и пресечь возникновение аварийных ситуаций.
Пакет экспертизы дополняет входящую в PT ISIM уникальную базу индикаторов промышленных киберугроз PT ISTI. Она содержит более 4000 сигнатур и правил обнаружения различных атак на распространенные системы ABB, Emerson, Hirschmann, Schneider Electric, Siemens, Yokogawa и др. Базу PT ISTI регулярно пополняет команда экспертов по безопасности промышленных систем управления Positive Technologies.
Выход экспертных пакетов планируется ежемесячно. Возможность получения и установки пакетов экспертизы доступна пользователям PT ISIM с версии 2.3.

Обновление PT NAD

Новые возможности и улучшения в PT NAD версии 10.0.361

1. Новые возможности

• Определение учетных данных пользователя при аутентификации KERBEROS
• Расширенный анализ SSH-сессии
• Автоматическое обновление данных на дашбордах
• Справочный центр и контекстная справка

2. Улучшения

• Поддержка нестандартных пользовательских ролей PT MC
• Виджет событий
• Дата и время обновления правила
• Новые строки со сводной информацией
• Перенос диаграммы объема трафика
• Ретроспективный анализ по всем репутационным спискам
• Автоматическое применение пользовательских репутационных списков
• Улучшения в отображении флагов и ошибок обработки сессий
• Сборка отчетов на любой странице
• Уровни опасности атак в списке техник MITRE ATT&CK
• Поддержка правил Suricata 4.x и 5.x
• Улучшения функции обработки трафика

Подробная информация об обновлении доступна по следующей ссылке

Рекомендации по устранению уязвимости в контроллере удаленного доступа сервера iDRAC

Эксперты Positive Technologies обнаружили веб-уязвимость высокого уровня опасности в контроллере удаленного доступа сервера Dell EMC iDRAC¹. Ее эксплуатация позволяет злоумышленнику получить полный контроль над работой сервера для его включения и выключения, изменений настроек охлаждения, питания. Компания Dell EMC выпустила обновленную микропрограмму для устройства и рекомендует установить ее как можно скорее.

Уязвимость с идентификатором CVE-2020-5366 относится к классу Path Traversal. Удаленный аутентифицированный злоумышленник с низким уровнем привилегий, может использовать эту ошибку, чтобы получить несанкционированный доступ для чтения произвольных файлов. Уязвимости подвержены контроллеры Dell EMC iDRAC9 с версиями прошивок до 4.20.20.20.

Рекомендации по устранению

Для устранения уязвимости необходимо:

1. Установить микропрограммное обеспечение Dell EMC iDRAC9 v4.20.20.20.
2. Закрыть стандартные группы public/private SNMP.
3. Использовать SNMP v3 со всеми инструкциями безопасности.

Кроме того, необходимо придерживаться лучших практик по использованию IDRAC. Dell EMC рекомендует:

• Использовать выделенный порт Gigabit Ethernet, доступный в серверах, для подключения iDRAC к отдельной сети управления.
• Наряду с размещением iDRAC в отдельной сети управления пользователи должны изолировать подсеть управления / vLAN с помощью таких технологий, как брандмауэры, и ограничить доступ к подсети / vLAN авторизованным администраторам серверов.
• Использовать 256-битное шифрование, а также TLS 1.2 или выше.
• Настроить дополнительные параметры, такие как фильтрация диапазона IP-адресов и режим блокировки системы.
• Использовать дополнительные параметры аутентификации безопасности, такие как Microsoft Active Directory или LDAP.
• Обновлять прошивку iDRAC.

Серверы Dell — аппаратная платформа всех продуктов Positive Technologies, поэтому мы настоятельно просим пользователей выполнить все рекомендации по устранению уязвимости.

¹ Контроллер удаленного доступа Dell iDRAC — это аппаратный компонент, относящийся к классу Baseboard Management Controller, размещенный на материнской плате сервера. Контроллер позволяет системным администраторам удаленно обновлять, контролировать, искать и устранять неполадки, осуществлять восстановление системы Dell, даже когда сервер выключен.