freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

2022年ICS安全漏洞研究报告
2023-02-22 14:09:26
所属地 江苏省

本文通过研究分析统计2022年ICS漏洞数据,工业控制系统(ICS)中发现的漏洞数量持续增加,其中许多漏洞严重性等级为“严重”或“高”。

评级为“严重”的漏洞数量增长显著,根据其 CVSS 评分,总共有近1000个漏洞为“严重”或“高严重性”。

报告关键发现

● 2022年ICS漏洞数量共计1268个,较去年(1255个)增幅不大;

● 其中超危漏洞331个,高危漏洞647个,占比超75%,明显高于2021年的59.8%;

● 漏洞类型覆盖了203个CWE类型,数量最高的为CWE-787越界写入;

● 受ICS漏洞影响较为严重的行业依旧是制造业、能源行业;

● 与去年相比,可影响多行业的漏洞数量从312增长至550个,涨幅达76%;

● 西门子设备被曝出591个漏洞,数量最多,占比46.6%。

ICS漏洞分析

  • ICS漏洞危害等级

2022年中确定的CVE数量为1268个,其中超危漏洞331个,高危漏洞647个,中危漏洞268个,低危漏洞13个,未分配漏洞9个,总数高于2021年确定的1255个漏洞,超危、高危漏洞占比也高于2021年的59.8%。

v2-56650700e994ab0ceb1002e800f69acf_1440w.png

  • ICS漏洞的CWE分类占比情况

此处列出了ICS漏洞发生频率最高的六个漏洞,总体发生频率较低的漏洞归纳到了“其他”当中。

v2-92cb041bd0262a0a61d0349514f240e5_1440w.png

1)CWE-787 跨界内存写入

占比4.22%。软件写入的数据超过了预定缓冲区的末端或在开始之前。攻击者可以利用这一点完成远程代码执行(RCE),破坏数据,或导致崩溃。

2)CWE-284 访问控制不当

占比4%。软件不会限制或错误地限制未经授权的行为者对资源的访问,攻击者可以通过获取特权、读取敏感信息、执行命令、逃避检测等方式危及软件的安全性。

3)CWE-20 输入验证不当

占比3.89%。产品收到输入或数据,但它没有验证或不正确地验证输入是否具有安全和正确处理数据所需的属性。攻击者可以利用这一点来完成RCE,改变控制流,或控制资源。

4)CWE-125 跨界内存读取

占比3.67%。软件读取的数据超过了预定缓冲区的末端或在开始之前。攻击者可以利用这一点导致崩溃或从其他内存位置访问信息。

5)CWE-79 在web页面生成时对输入的转义处理不恰当(跨站脚本)

占比3.55%。软件没有中和或不正确地中和用户可控制的输入,然后将其置于输出中,作为网页提供给其他用户。攻击者可以利用这一点,注入一个恶意脚本,实现许多不同的目标,包括诱使受害者输入密码或利用浏览器的漏洞来接管受害者的设备。

6)CWE-400 未加控制的资源消耗

占比3.11%。没有适当地控制有限资源的分配和维护,如果攻击者可以触发这些有限资源的分配,但资源的数量或大小不受控制,那么攻击者可能会导致拒绝服务消耗所有可用资源。

7)其他

该部分是由近200个各种各样的其它CWE组成,产生这些漏洞的总体频率较低。

  • ICS漏洞影响行业TOP10

影响多个行业的漏洞数量超过了关键制造业的漏洞数量,从2021年的312个增长至550个,占比43.4%,涨幅高达76%。

v2-7be726a9c9e3775166d60a1e33cbb69b_1440w.png

该类漏洞普适性强,容易达到事半功倍的效果。预计2023年,攻击者和研究人员可能对这类漏洞更感兴趣。仅影响关键制造业的漏洞从2021的613个降低到了460个,但绝对数量仍然较大,情况依旧不容乐观。

  • ICS漏洞影响厂商TOP10

在漏洞数量中,西门子遥遥领先,以591个的漏洞占据头牌,总占比达46.6%,可谓占据了半壁江山,远超第二名的三菱的77个漏洞。

v2-bf4e3ea4035a7bea3e9ac325de68f2ad_1440w.png

西门子的ICS漏洞数量,不仅包括产品使用中发现的安全漏洞,更多的漏洞是西门子产品安全团队自行发现上报的。在发掘自身产品漏洞数量方面,西门子远远超过其他供应商。

同时西门子也在积极解决这些漏洞,研究统计:通常每个月都会解决数十个漏洞,其中许多会对公司产品的使用,以及工业网络的适配产生影响。

有关专家认为:2022年,西门子产品安全团队继续提高报告频率,同比增长近 3 倍。虽然与其他产品相比,这确实增加了影响西门子产品线的已知CVE 数量,但这不应被视为西门子产品的安全性较低。

相反,成熟且可重复的OEM自我报告流程是所有其他 OEM 应该努力实现的目标。

  • ICS漏洞影响产品分布范围

在受1268个工控漏洞影响的产品中,其绝大多数都遍布于全球,尤其是美国,几乎囊括了所有的产品。

v2-2c09d71851bfa7aff126c0fab88fa6b0_1440w.png

ICS漏洞利用

ICS漏洞会影响软件、固件或协议,根据报告统计,攻击者利用漏洞对这三类进行攻击的百分比为软件占 56%,固件占 36%,协议占 8%。

通常,IT漏洞是根据攻击向量或安全协议(例如身份验证和凭据)的严重性来衡量的,这与工业系统有所区别。由于ICS和OT环境的独特性,利用漏洞通常需要大量的人机交互,甚至还需要在本地设置与攻击目标相同的环境。所以ICS中的漏洞利用情况以及ICS对漏洞警报的响应方式也因此不同。

v2-e6f3264a91926306a30708446431e9df_1440w.jpg

虽然上报的ICS漏洞数量很多,但近三分之一的漏洞需要用户交互才能成功利用,大约四分之一需要对目标系统进行本地或物理访问。

例:CWE-256明文存储漏洞,攻击者必须对设备具有物理访问权限,并且能够与系统闪存交互,才能获得对明文密码的访问权限。 CWE-79跨站点脚本(XSS)漏洞,在某些配置中,SAML模块很容易受到XSS攻击,因为错误消息的清理不足,这可能允许攻击者通过诱骗用户访问恶意链接来执行恶意代码。

2022年,需要用户交互或者对目标进行访问才能利用的漏洞数量与2021年相比有所下降。然而与IT系统相比,ICS中的网络可访问性及用户交互的概率均较低,生产过程当中不易发生用户交互。

但是,“永远存在的漏洞(这些漏洞可能永远不会得到补丁)”的数量从2021年的14%增加到2022年的 28%。

报告总结

2022年的ICS漏洞无论是在“质”,还是在“量”方面,都依旧保持着增长的势头。同样,在通用的网络安全漏洞态势方面,无论是从国内的CNNVD、CNVD,或是美国的NVD的数据来看,2022年网络安全漏洞数量呈现了20%以上的增长。

v2-ecbe95b21d02cbe7325925f7dca342f8_1440w.jpg

其中极少一部分的漏洞没有补丁或没有修复,称之为“永久漏洞”;还有一部分漏洞需要固件更新才能修复;大部分漏洞由原始设备制造商(OEM)报告,以及由安全供应商和独立研究人员提交;其余由资产所有者和政府CERT直接报告。整体来看,ICS漏洞数量是可控的,大多数漏洞被利用的可能性极低。

由于工业领域在漏洞管理方面的特殊性和复杂性,工业网络安全面临着更加复杂严峻的局面,依托资产管理、漏洞管理、补丁管理、配置管理构建的基础安全能力仍然存在明显短板和不足。

这也是众多关键信息基础设施行业、网络安全监管机构、网络安全服务商将要共同面对的挑战和考验。

# 网络安全 # web安全 # 系统安全 # 数据安全 # 企业安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录