Oko 34% sigurnosnih ranjivosti koje utiču na sisteme industrijske kontrole (ICS) koje su prijavljene u prvoj polovini 2023. godine nemaju zakrpu ili sanaciju, što je značajno povećanje u odnosu na 13% prethodne godine.
Prema podacima koje je prikupio SynSaber, u prvoj polovini 2023. godine prijavljeno je ukupno 670 grešaka u ICS proizvodima preko američke Agencije za kibernetičku sigurnost i sigurnost infrastrukture (CISA), u odnosu na 681 prijavljen u prvoj polovini 2022. godine.
Od 670 CVE-a, 88 je ocijenjeno kritičnim, 349 visokom, 215 srednjim, a 18 niskim ocjenom ozbiljnosti, 227 nedostataka nema ispravke u odnosu na 88 u prvoj polovini 2022. godine.
“Kritični sektori proizvodnje (37,3% od ukupnog broja prijavljenih CVE-a) i energetike (24,3% od ukupno prijavljenih) najvjerovatnije će biti pogođeni”, navodi OT kompanija za kibernetičku sigurnost i praćenje imovine u izvještaju koji je podijeljen za The Hacker News.
Ostale istaknute industrijske vertikale uključuju vodovodne i kanalizacione sisteme, komercijalne objekte, komunikacije, transport, hemijsku, zdravstvenu zaštitu, hranu i poljoprivredu i vladine objekte.
Neki od drugih značajnih nalaza su sljedeći:
- Mitsubishi Electric (20,5%), Siemens (18,2%) i Rockwell Automation (15,9%) su najviše pogođeni prodavci u kritičnom proizvodnom sektoru,
- Hitachi Energy (39,5%), Advantech (10,5%), Delta Electronics i Rockwell Automation (obojica 7,9%) bili su najugroženiji dobavljači u energetskom sektoru,
- Siemens se pojavio kao vodeći subjekt koji proizvodi najviše CVE-a u prvoj polovini 2023. godine, što predstavlja 41 ICS savjet,
- Upotreba nakon besplatnog čitanja van granica, nepravilne provjere valjanosti unosa, pisanja izvan granica i uslova utrke bili su prvih pet softverskih slabosti.
Štaviše, većina CVE izvještaja (84,6%) potiče od proizvođača originalne opreme (OEM) i dobavljača sigurnosti u Sjedinjenim Državama, a slijede ih Kina, Izrael i Japan. Nezavisna i akademska istraživanja su činila 9,4%, odnosno 3,9%.
“Fever-Day ranjivosti ostaju problem – šest CISA savjeta identificiranih za proizvode dobavljača ICS-a koji su dosegli kraj životnog vijeka sa ranjivostima ‘kritične’ ozbiljnosti nemaju ažuriranja, zakrpe, ažuriranja hardvera/softvera/firmvera ili poznata rješenja”, istakla je kompanija.
SynSaber je, međutim, napomenuo da samo oslanjanje na CISA ICS savjete možda nije dovoljno i da organizacije moraju pratiti više izvora informacija kako bi stekle bolju predstavu o nedostacima koji mogu biti relevantni za njihovo okruženje.
“Treba voditi računa o razumijevanju ranjivosti u kontekstu okruženja u kojem se pojavljuju”, navodi se. “Budući da je svako OT okruženje jedinstveno i namjenski izgrađeno, vjerovatnoća eksploatacije i utjecaja koji može imati će se uvelike razlikovati za svaku organizaciju.”
Nalazi su došli kada je Nozomi Networks otkrio “veliki broj indikacija skeniranja mreže u postrojenjima za prečišćavanje vode, lozinke sa jasnim tekstom u industriji građevinskih materijala, aktivnosti prenosa programa u industrijskim strojevima, i pokušaje ubrizgavanja paketa OT protokola u mreže nafte i plina.”
Kompanija za kibernetičku sigurnost IoT-a saopštila je da je dnevno detektovala u prosjeku 813 jedinstvenih napada na svoje honeypots, s IP adresama najvećih napadača iz Kine, SAD-a, Južne Koreje, Tajvana i Indije.
Izvor: The Hacker News