Forescout выкатили отчет об угрозах за 2024 год, констатируя, что протоколы промышленной автоматизации по-прежнему остаются наиболее уязвимыми для атак, нацеленных на операционные технологии (OT), однако все чаще мишенью становятся системы автоматизации зданий.
В основу исследования положены результаты анализа, зафиксированные ханипотами компании в прошлом году, включая сканирование портов, атаки методом подбора и попытки эксплуатации уязвимостей.
Отчет охватывает воздействия на веб-сервисы и устройства сетевой инфраструктуры, действия после эксплуатации, а также атаки на системы OT и критическую инфраструктуру.
Исследователи также поделились данными о вредоносном ПО и субъектах угроз, которые инициировали эти атаки.
Что касается атак OT, то в 2024 году наиболее целевым протоколом был Modbus, за которым следуют Ethernet/IP, Step7, DNP3 и BACnet.
Процент атак на Modbus увеличился с 33% до 40% с 2023 по 2024 год, а в случае Ethernet/IP — с 19% до 28%. Атаки на DNP3 и Step7 снизились с 18% до 8% для обоих протоколов OT.
Наиболее уязвимыми по-прежнему остаются протоколы, связанные с системами промышленной автоматизации: на них приходится 79% атак (по сравнению с 71% в 2023 году), далее следуют коммунальные службы с 12% (по сравнению с 28%) и автоматизация зданий с 9% (по сравнению с 1%)
Как отмечают в Forescout, наиболее существенный рост наблюдается в категории автоматизации зданий - особенно если посмотреть на новые протоколы, подвергающиеся атакам.
При этом в прошлом году атаки на автоматизацию зданий были сосредоточены на эксплуатации уязвимостей, а не на прямом взаимодействии с протоколами.
В 2024 исследователи увидели, что интерес к протоколам автоматизации зданий растет, поскольку злоумышленники по-прежнему используют уязвимости на этих устройствах.
Для этого в их распоряжении представлено множество «удобных» уязвимостей, из которых есть что выбирать при проведении атак.
Например, исследователь Джоко Крстич недавно предупредил, что широко используемый продукт управления зданиями от ABB подвержен более чем 1000 уязвимостям, включая недостатки, которые могут подвергнуть многие объекты удаленному взлому.
В целом Forescout обнаружила, что 73% эксплуатируемых уязвимостей не были включены в список KEV CISA, что на 65% больше, чем в 2023 году.
Если рассматривать конкретно уязвимости, затрагивающие ОТ и промышленные продукты IoT, то по крайней мере 25 уязвимостей, эксплуатируемых ботнетами и автоматизированными атаками, не были включены в каталог KEV.
Сюда входят CVE с 2018 по 2023 год, затрагивающие продукцию Apsystems, Carel, Chiyu, Contec, Eaton, Ecoa, Emerson, Endress+Hauser, Frangoteam, Honeywell, KevinLab, Linear, Loytec, OAS, Schneider Electric, Teltonika, Viessman, Wago и ZKTeco.
Другие подробности исследования - в отчете.