運營技術網絡安全與資產監測公司SynSaber匯編的數據表明,2023年上半年,共有670個ICS產品缺陷經美國網絡安全與基礎設施安全局(CISA)通報,相比2022年上半年報告的681個有所減少。
按漏洞嚴重程度劃分,這670個CVE中,88個是嚴重級別(Critical),349個高危(High),215個中危(Medium),18個低危(Low)。而且,其中227個都沒有可用的補丁,相比2022年上半年只有88個漏洞無可用補丁可謂增長顯著。
SynSaber在報告中寫道:“關鍵制造(報告CVE總數的37.3%)和能源(24.3%)行業是最容易受到影響的。”
其他重要垂直行業包括給排水系統、商業設施、通信、交通運輸、化工、醫療保健、食品與農業,以及政府設施。
其他值得注意的發現如下:
- 三菱電機(20.5%)、西門子(18.2)和羅克韋爾自動化(15.9%)是關鍵制造行業受影響最大的供應商;
- 日立能源(39.5%)、研華科技(10.5%)、臺達電子和羅克韋爾自動化(均為7.9%)是能源行業受影響最大的供應商;
- 西門子攜41個ICS漏洞咨詢躥升為2023年上半年曝出CVE最多的實體;
- 釋放后使用、越界讀取、不當輸入驗證、越界寫入和競態條件位列五大軟件缺陷
此外,大部分CVE報告(84.6%)源自美國原始設備制造商(OEM)和安全供應商,緊隨其后的是中國、以色列和日本。獨立研究機構和學術研究機構分別占9.4%和3.9%。
SynSaber指出:“永久性漏洞依然是個問題:六份CISA漏洞咨詢針對到期ICS供應商產品,這些產品都存在‘嚴重’安全漏洞,且均無更新、補丁、硬件/軟件/固件更新或已知解決方案。”
但SynSaber也指出,僅僅依靠CISA的ICS漏洞咨詢可能并不足夠,企業需要監測多個信息源才能更加了解與自身環境相關的漏洞。
“了解漏洞時應注意漏洞所處的環境。由于每個OT環境都是專門打造的獨特環境,漏洞利用的概率及其可能產生的影響因企業而異。”
SynSaber發布報告的同時,物聯網網絡安全公司Nozomi Networks也披露了針對水處理設施的大量網絡掃描指標、建筑材料行業的明文密碼警報、工業機械程序傳輸活動,以及油氣網絡OT協議數據包注入嘗試。
Nozomi Networks稱其平均每天檢測到813次針對其蜜罐的攻擊,攻擊者IP主要源自中國、美國、韓國、中國臺灣地區和印度。
CNCERT國家工程研究中心
D1Net
安全牛
全球網絡安全資訊
GoUpSec
安全牛
一顆小胡椒
安全圈
安全圈
一顆小胡椒
E安全
安全圈
