2021年上半年工控系統(ICS)產品曝光637個漏洞 涉及76家供應商

工業網路安全公司Claroty釋出了第三份年度ICS風險與漏洞報告，該報告分析了與ICS領域使用的領先自動化產品相關的漏洞狀況。

報告顯示，2021年上半年影響工業控制系統(ICS)產品的637個漏洞，影響了76家供應商的產品。同時警告稱，超過70%的已釋出漏洞被指定為嚴重或高嚴重等級。

該公司此前釋出的2H 2020 報告中，披露漏洞數量為449個，影響了59家供應商。

值得注意的是，大多數2021年上半年披露的漏洞(80.85%)是由受影響供應商的外部訊息來源報告的，包括第三方安全公司、獨立專家和學者。

對每個供應商披露的漏洞的分析表明，西門子是報告的漏洞最多的供應商，有146個，其中許多是作為西門子CERT進行的內部研究的一部分而披露的。其他缺陷最多的供應商是施耐德電氣 (65) 和羅克韋爾自動化 (35)。

大多數缺陷影響操作管理級別(歷史記錄、OPC 伺服器)的產品，其次是基本控制(PLC、RTU)和監督控制(HMI、SCADA)級別。

2021年上半年披露的漏洞比例最大，影響了普渡模型的第3級：運營管理(23.55%)，其次是第1級：基本控制(15.23%)和第2級：監督控制(14.76%)。報告稱。

該安全公司表示，61.38%的已披露漏洞可能被來自IT或OT網路外部的攻擊所利用，這一資料令人擔憂，好訊息是該比例低於2020年2 H的71.49%。可透過本地攻擊媒介利用的漏洞上升至31.55%，在2020年2H中，該百分比為18.93%。

“在 94.38% 透過本地攻擊媒介的運營管理漏洞中，需要使用者互動才能利用。這加強了對網路釣魚和垃圾郵件預防，以及有助於阻止勒索軟體和其他潛在破壞性攻擊浪潮的意識技術的需求。” 報告表示。

專家指出，由於多種原因，更新工業控制系統或SCADA軟體通常具有挑戰性，這意味著很容易找到在工業環境中未更新的ICS-SCADA系統，並且威脅行為者可以將其作為網路攻擊目標。

以下是一些緩解與修復相關的資料：

在2021的1H 中披露的637個ICS漏洞中，有25.59%沒有修復或僅部分修復。

在未修復或部分修復的漏洞中，韌體中發現了61.96%。

在沒有或部分修復的漏洞中，55.21%可能導致遠端程式碼執行，並且當成功利用時，47.85%可能導致拒絕服務的情況。

74.4%的漏洞需要修復，59.49% 需要軟體修復。

637個漏洞中的6.43%影響不再受支援的生命週期終止產品，這類產品應及時更換。51.22%的漏洞在即將到期的報廢產品韌體中。

隨著勒索軟體攻擊尤其針對裝置的勒索攻擊，給社會造成嚴重的影響和巨大破壞，大型製造業務和關鍵基礎設施的複雜網路環境正成為勒索軟體運營商的目標。

目前，對關鍵基礎設施的網路攻擊事件愈發頻繁。

8月11日，全球財富500強企業埃森哲遭受勒索軟體攻擊，駭客團伙自稱已竊取埃森哲超過6太位元組(TB)“絕密”資料，並索要5000萬美元贖金。

8月10日，跨鏈互操作協議 Poly Network 突遭駭客攻擊，駭客在不到1小時時間內，分別盜走了 2.5 億、2.7 億、8500 萬美元的加密資產，損失總額高達 6.1 億美元。

之前還有對美國輸油管道的攻擊，肉類廠商的攻擊......我們不得不面對一個嚴峻現實形勢：2021年以來，全球所發生的勒索軟體攻擊事件顯著增多。SonicWall資料亦顯示，2021年上半年發現3.047億次勒索軟體攻擊未遂時間，同比增長151%。放眼全球，2021年網路安全重大事件頻發，網路安全風險問題日益突出，攻擊行為亦朝著複雜化、規模化、多樣化演進。

工業和資訊化部網路安全管理局副局長陶青此前亦表示，“網路安全風險向實體經濟滲透趨勢更加明顯，網路攻擊、資料洩露、網路詐騙此起彼伏，全球網路空間安全形勢嚴峻複雜，網路安全保障的基礎性、關鍵性作用更加突出。”

網路攻擊離不開安全漏洞的存在，資料顯示，90%以上的網路安全問題是由軟體自身的安全漏洞被利用導致，而減少漏洞數量，亟需加強軟體安全。隨著網路安全風險日益提高，在開發軟體過程中安全問題不容小覷。提高軟體自身安全性，有效又常見的方式即透過 靜態程式碼檢測來發現程式碼缺陷及問題，還能在不執行程式碼的情況下及時發現執行時缺陷，便於定位及修正。

隨著《網路安全法》、《資料安全法》及《關鍵資訊基礎設施安全保護條例》的實施，構築網路安全保護堡壘的同時，在網路安全建設方面也對企業和個人提出更高要求。Wukong(悟空)靜態程式碼檢測工具，從原始碼開始，為您的軟體安全保駕護航!