PT ISIM View Sensor update

1. New features and improvements in PT ISIM View Sensor 1.6.

New recognized protocols

The list of recognized protocols now also includes RIP, BGP, SSDP, DICOM, NTP, HART-IP, BACnet, LDAP, CLDAP, Kerberos, CPHA, CUPS, RADIUS, DIAMETER, PTP, MQTT, CoAP, S7CommPlus, FTE, Fieldbus. Recognized protocols do not have specific incident detection rules in PT ISIM View Sensor, but each instance of their use is recorded as an "Unauthorized <protocol name> connection" incident.

Upgrade to Debian 9

The operating system of the product has been upgraded from Debian 8 to Debian 9. The upgrade optimizes the operation of PT ISIM View Sensor services and improves the performance of the product.

Transition to PostgreSQL

PostgreSQL has replaced SQLite as the main DBMS, which improves the stability of the product.

Performance and stability

Processor utilization has been optimized, and the performance of PT ISIM View Sensor has been improved. Managing large amounts of data via the web interface is now more stable (for example, changing the state of a large number of incidents simultaneously does not cause an error). The configurator, which is available in PT ISIM proView Sensor, now lets you upload significantly larger SCL files and configuration files.

2. Limitations of version 1.6.

You cannot update PT ISIM View Sensor 1.5 or earlier to version 1.6.

Обновление PT ISIM View Sensor версии 1.6.

1. Новые возможности и улучшения в PT ISIM View Sensor версии 1.6.

Новые распознаваемые протоколы

Расширен список распознаваемых протоколов, в него добавлены протоколы RIP, BGP, SSDP, DICOM, NTP, HART-IP, BACnet, LDAP, CLDAP, Kerberos, CPHA, CUPS, RADIUS, DIAMETER, PTP, MQTT, CoAP, S7CommPlus, FTE, Fieldbus. Распознаваемые протоколы не имеют в PT ISIM View Sensor специфичных правил обнаружения инцидентов, но каждый факт их использования в сети фиксируется в виде инцидента "Неразрешенное соединение по протоколу <Название протокола>".

Переход на Debian 9

Операционная система продукта обновлена с Debian 8 на Debian 9. Данное обновление позволило оптимизировать работу служб PT ISIM View Sensor и повысить производительность продукта.

Переход на PostgreSQL

Основная СУБД была изменена с SQLite на PostgreSQL, что позволило повысить стабильность продукта.

Производительность и стабильность работы

Оптимизировано потребление ресурсов процессора и улучшена производительность PT ISIM View Sensor. В веб-интерфейсе стабилизирована работа с большим количеством данных (например, одновременная смена статусов большого количества инцидентов не приводит к ошибке). В конфигураторе, доступном в PT ISIM proView Sensor, теперь можно загружать гораздо большие SCL-файлы и файлы конфигураций..

2. Ограничения версии 1.6.

Невозможно обновление PT ISIM View Sensor версии 1.5 и более ранних на версию 1.6.

Remote Desktop Services Remote Code Execution Vulnerability (CVE-2019-0708)

A new vulnerability detected in Windows.

A remote code execution vulnerability (CVE-2019-0708) exists in Remote Desktop Services – formerly known as Terminal Services – when an unauthenticated attacker connects to the target system using RDP and sends specially crafted requests. This vulnerability is pre-authentication and requires no user interaction. An attacker who successfully exploited this vulnerability could execute arbitrary code on the target system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.

Vulnerable in-support systems include Windows 7, Windows Server 2008 R2, and Windows Server 2008.
Out-of-support systems include Windows 2003 and Windows XP.

To exploit this vulnerability, an attacker would need to send a specially crafted request to the target systems Remote Desktop Service via RDP. The update addresses the vulnerability by correcting how Remote Desktop Services handles connection requests.

You may find the vulnerability technical details on portal.msrc.microsoft.com.

How to Protect Yourself

The following workarounds may be helpful in your situation. In all cases, Microsoft strongly recommends that you install the updates for this vulnerability as soon as possible even if you plan to leave these workarounds in place:

1. Enable Network Level Authentication (NLA) on systems running supported editions of Windows 7, Windows Server 2008, and Windows Server 2008 R2

You can enable Network Level Authentication to block unauthenticated attackers from exploiting this vulnerability. With NLA turned on, an attacker would first need to authenticate to Remote Desktop Services using a valid account on the target system before the attacker could exploit the vulnerability.

2. Block TCP port 3389 at the enterprise perimeter firewall

TCP port 3389 is used to initiate a connection with the affected component. Blocking this port at the network perimeter firewall will help protect systems that are behind that firewall from attempts to exploit this vulnerability. This can help protect networks from attacks that originate outside the enterprise perimeter. Blocking the affected ports at the enterprise perimeter is the best defense to help avoid Internet-based attacks. However, systems could still be vulnerable to attacks from within their enterprise perimeter.

 
Vulnerability detection will be available in the next MaxPatrol 8 update (05/17/2019).
 

Критическая RCE-уязвимость в службах удаленных рабочих столов (CVE-2019-0708)

В ОС Windows обнаружена критическая RCE-уязвимость в службах удаленных рабочих столов.
При успешной эксплуатации уязвимость позволяет злоумышленнику, не прошедшему проверку подлинности, осуществить удаленное выполнение произвольного кода на атакуемой системе.
Подробное техническое описание уязвимости можно найти на support.microsoft.com

Уязвимости подвержены ОС Windows 7, Windows Server 2008 R2, Windows Server 2008, а также вышедшие из поддержки вендором Windows 2003 and Windows XP.

Как защититься

Во всех случаях Microsoft настоятельно рекомендует установить обновления для этой уязвимости как можно скорее, даже если вы планируете в дальнейшем использовать эти обходные пути:

1. Включите проверку подлинности на уровне сети (NLA) в системах, работающих под управлением ОС Windows 7, Windows Server 2008 и Windows Server 2008 R2

Вы можете включить проверку подлинности на уровне сети, чтобы блокировать использование этой уязвимости злоумышленниками, не прошедшими проверку подлинности. Когда NLA включен, злоумышленнику сначала необходимо пройти проверку подлинности в службах удаленных рабочих столов с использованием действующей учетной записи в целевой системе, прежде чем злоумышленник сможет воспользоваться этой уязвимостью.

2. Заблокируйте TCP-порт 3389 на брандмауэре сети предприятия.

TCP-порт 3389 используется для установления соединения с уязвимым компонентом. Блокировка этого порта на брандмауэре периметра сети поможет защитить системы, которые находятся за этим брандмауэром, от попыток использовать эту уязвимость. Это может помочь защитить сети от атак, происходящих за пределами периметра предприятия. Блокировка уязвимых портов по периметру предприятия - лучшая защита от интернет-атак. Однако системы по-прежнему могут быть уязвимы для атак изнутри периметра предприятия.

Возможность определения данной уязвимости будет доступна в ближайшем обновлении MaxPatrol 8 (17.05.2019).

MaxPatrol SIEM эффективнее выявляет атаки на систему SAP ERP

В MaxPatrol SIEM загружен очередной пакет экспертизы: новые правила корреляции событий ИБ предназначены для выявления атак на систему управления предприятием SAP ERP. Правила корреляции более гибкие в настройке и учитывают новые возможности MaxPatrol SIEM, поэтому эффективнее выявляют инциденты.

Команда R&D Positive Technologies переработала правила корреляции для выявления атак на SAP ERP с учетом актуальных угроз и новой функциональности MaxPatrol SIEM (табличных списков, расширенных справочников) и добавила гибкости в настройке работы правил.

Для корректного функционирования SAP ERP в ней выделяются системы классов разработки, тестирования и продуктивного класса. Теперь пользователи MaxPatrol SIEM могут настраивать действие правил с учетом классов систем в SAP ERP для снижения количества ложных срабатываний. Например, для системы класса разработки правило, выявляющее чтение критически важных бизнес-данных, не срабатывает: оно актуально только для систем продуктивного класса.

В пакет экспертизы вошли 14 правил корреляции. Более подробное описание пакета читайте в документе «Описание пакета экспертизы №6».

Подробная инструкция по установке и использованию пакета экспертизы доступна в документе «Пакет экспертизы № 6. SAP NetWeaver AS ABAP».