2022上半年XIoT安全態勢-XIoT環境下信息物理系統的漏洞披露和補救措施
工業網絡安全公司Claroty當地時間24日透露,物聯網漏洞、供應商自我披露以及完全或部分修復的固件漏洞有所增加。該公司分析了今年前六個月影響擴展物聯網(XIoT)環境的漏洞披露和補救措施。它指出,要評估這些關鍵部門的風險,決策者必須對脆弱性環境有一個完整的了解,在關鍵任務系統影響公共安全、患者健康、智能電網和公用事業之前優先考慮和減輕(或修復)它們。
Claroty 在其《XIoT安全狀況報告:2022年上半年》中報告稱,連接的嵌入式物聯網 (IoT)設備中披露的漏洞百分比為15%,與Team82上一份涵蓋下半年的報告相比大幅增加。去年物聯網占所有漏洞的9%。然而,Team82的 XIoT當前數據集中已發布的漏洞數量與其之前的報告相比基本持平,而受影響的供應商數量略有上升至86個。Team82是Claroty的研究部門。
“在將物連接到互聯網數十年后,信息物理系統(CPS)正在對我們在現實世界中的體驗產生直接影響,包括我們吃的食物、喝的水、乘坐的電梯以及我們接受的醫療服務, ” Claroty研究副總裁Amir Preminger在一份媒體聲明中說。“我們進行這項研究是為了讓這些關鍵部門的決策者全面了解XIoT漏洞狀況,使他們能夠正確評估、優先考慮和解決支撐公共安全、患者健康、智能電網和公用事業的關鍵任務系統的風險。”
這家總部位于紐約的公司擴大了其半年度報告的范圍,以了解在XIoT中披露和修復的漏洞,這包括工業(工業控制系統和運營技術)、醫療保健(連接的醫療設備)和商業環境(樓宇管理系統和企業物聯網)。該報告作為公司對信息物理安全的背景分析,涵蓋漏洞數據和圍繞這些關鍵問題的必要背景,以評估風險并確定補救措施的優先級。
“商業系統,包括樓宇自動化系統、監控系統(包括安全攝像頭、警報器和門鎖)正在越來越多地在線連接和管理,”Claroty在報告中說。“了解每個企業,無論其行業或核心競爭力如何,都有一定程度的OT和IoT 連接到其網絡,這一點至關重要。正是在這里,維持我們創新能力的信息物理系統對我們的生活方式產生了直接影響。連接系統的漏洞管理至關重要,因為任何中斷都可能影響物理安全和保障以及我們的經濟繁榮,“它補充道。
該報告稱,自Team82上一份報告以來,物聯網設備的漏洞已經攀升,僅落后于運營管理和基本控制OT設備。“大約25% 的已披露漏洞影響普渡模型的基本控制(1級)和監督控制(2級)級別。這一級別的漏洞利用通常是基于固件的,可以讓攻擊者達到較低級別并影響進程本身,使其成為一個有吸引力的目標。”
報告稱,由于無法隨著時間的推移進行修補,尤其是在1級設備固件中,建議重點關注于網絡分段、遠程訪問保護和監督控制級別的保護,因為它與基本控制級別有聯系。“與此同時,被稱為醫療物聯網(IoMT)的聯網醫療設備中的漏洞已經出現在Team82的數據集中,主要出現在成像系統和支持它們的協議中,例如DICOM通信標準,”它補充道。
除了在患者設備和臨床實驗室工具中發現的安全問題外,Claroty還報告了臨床物聯網設備中的多個缺陷,例如醫療推車、配藥系統和患者參與應用程序,這些缺陷也在此期間發布。
Claroty說,安全研究人員,無論是獨立的還是基于供應商的,例如eam82和供應商本身,都在深入研究連接設備的安全性。“物聯網設備——包括監控攝像頭、路由器、智能家居設備——通常不支持加密等強大的安全技術,或者仍然包含可被濫用以將這些設備引入僵尸網絡或獲得更深層次的網絡訪問權限的出廠默認憑據。這些數字很重要,表明公司傾向于修補這些漏洞,并有興趣保持領先于公開可用的漏洞,”它補充道。
Claroty報告稱,在此期間發布了747 個XIoT漏洞,影響了工業、醫療保健和商業技術領域的86家供應商。絕大多數XIoT漏洞都有CVSS評分,其中19%的評為特別嚴重,46%的高嚴重性。XIoT漏洞可以進一步細分為 65.33% 的歸屬于OT,16.47%歸屬于IT,IoT的占15.13%,IoMT的占3.08%。
Team82團隊在今年前六個月披露了40多個T、企業IoT和醫療設備/協議漏洞,影響了16家技術供應商。報告稱:“雖然自動化供應商仍然主導Team82 數據集中的漏洞披露,但出現了更多的企業物聯網和醫療保健領域的供應商。”
漏洞披露在很大程度上影響軟件或固件,在某些情況下,漏洞會影響可能會連帶軟件和固件的多個組件。過去,軟件漏洞的披露使固件相形見絀,這表明研究人員檢查軟件的錯誤以及研究和修補固件的相關挑戰的普遍存在。例如,考慮到測試和分發軟件補丁相對容易,軟件更新通常優先于固件。
Team82強調,俄羅斯于2月24日入侵烏克蘭引發了對伴隨烏克蘭街頭和天空的動態戰斗而發生的網絡攻擊的擔憂。烏克蘭境內的電網被視為目標,其他關鍵的網絡物理系統也是這個飽受戰爭蹂躪的國家內生活方式不可或缺的一部分。此外,4月,安全供應商ESET報告稱, Sandworm APT針對烏克蘭部分電網使用的2016 Industroyer惡意軟件變體部署在烏克蘭電力供應商內部。官員們說,惡意軟件在被觸發之前就被控制住了。
“該變體名為Industroyer2,專門針對通過IEC-104(IEC 60870-5-104)進行通信的工業設備,在這種情況下,是用于高壓變電站的電力系統自動化應用,”Claroty報告稱。“ESET 和CERT-UA表示,該變體是使用與原始Industroyer相同的源代碼構建的,也稱為CrashOverride。Industroyer2能夠同時與多個 ICS 設備通信,分析顯示了多個配置值,包括 ASDU 地址、IOA、超時等。該惡意軟件會終止合法進程并重命名應用程序,以防止目標進程自動重啟。它的目的是切斷該工廠所服務的國家人民的電力,“它補充說。
Claroty說,在當前期間,研究人員發現了一種趨勢,即已發布的固件漏洞幾乎與軟件漏洞相當,這與前六個月不同,當時軟件之間幾乎存在2比1的差異。漏洞和固件錯誤。“在2022上半年數據集中完全修復的固件漏洞總數中可能會發現更好的消息。與上次報告相比,我們看到了顯著增長,供應商完全修復了233個固件缺陷,另外69個提供了部分修復,”他們補充說。
Claroty透露,供應商的自我披露首次超過獨立研究機構,成為第二多產的漏洞報告者。供應商在 2022 年的前六個月發布了214 個CVE,僅次于報告了337個的第三方安全公司。發布的214 個CVE幾乎是 Team82去年最后六個月報告的127個總數的兩倍。此外,今年前六個月,19 家XIoT供應商首次披露信息。該名單包括醫療設備制造商、樓宇自動化供應商、IT、OT和ICS公司。
報告稱:“多年來,Team82一直保持警惕,不僅要發現工業和物聯網軟件和固件中的漏洞,還要確保生態系統更安全。” “這種警惕性包括改進與供應商的協調披露,并幫助規模較小、資源較少的組織建立漏洞披露計劃的基礎。”
Claroty透露,受影響的供應商數量比2021年下半年增加了四家,并且有望超過 2021年受影響的供應商總數。Team82將此歸因于幾個因素。報告稱,隨著供應商處理從未設計為連接到互聯網的產品中的漏洞,XIoT漏洞研究不斷發展和成熟,了解這一點很重要。
報告稱:“西門子和ABB等市場領先的供應商是受影響最大的供應商前五名。” “這些自動化公司在XIoT范圍內構建產品,并同時建立了產品安全團隊,與外部研究人員密切合作,以發現和修復每個漏洞。”
Claroty還表示,供應商不再支持40個影響報廢產品的漏洞,其中78%的已發布漏洞影響此類產品,可使用網絡攻擊向量加以利用。
6 月,Forescout的Vedere實驗室發現了56個漏洞,這些漏洞是由不安全的設計做法導致的,影響了10家OT供應商的設備。這些安全漏洞統稱為 OT:ICEFALL,主要分為四大類——不安全的工程協議、弱加密或損壞的身份驗證方案、不安全的固件更新和通過本機功能執行的遠程代碼。十家制造商都發現了設計上的不安全問題,包括貝克休斯(Bentley Nevada)、艾默生、霍尼韋爾、捷太格特、摩托羅拉、歐姆龍、菲尼克斯電氣、西門子和橫河電機。
Claroty 說,考慮到軟件和固件修補方面的挑戰,緩解措施通常是對防御者開放的唯一補救選擇。然而,盡管防御者依賴于緩解措施,但來自ICS-CERT等行業組織的供應商建議或警報有時會提出深度防御建議。
諸如阻止特定端口或更新過時協議等可行的建議很重要,但應該注意的是,在這些建議生效之前,基礎安全實踐必須落實到位。除了防范勒索軟件意識、網絡釣魚緩解、流量限制、基于用戶和角色的策略以及最小權限原則等基本安全衛生措施之外,網絡分段是最重要的一步,應該是防御者優先考慮的其他選項。
參考來源
1.https://industrialcyber.co/reports/claroty-analyzes-vulnerability-disclosures-remediations-impacting-cyber-physical-systems-across-xiot-environments/
2.https://claroty-statamic-assets.nyc3.digitaloceanspaces.com/resource-downloads/team82-state-of-xiot-1h-2022-1661181434.pdf
原文來源:網空閑話
