根据工业网络安全公司 SynSaber 的一份新报告,在工业控制系统 (ICS) 中发现的漏洞数量持续增加,其中许多漏洞的严重性等级为“严重”或“高”。
该报告比较了 CISA 在 2020 年和 2022 年期间发布的 ICS 和 ICS 医疗咨询数量。虽然 2021 年和 2022 年的咨询数量大致相同,均为 350 个,但去年发现的漏洞数量达到 1,342 个,而 2021 年为 1,191 个前一年。
评级为“严重”的漏洞数量增长更为显著,从 2021 年的 186 个增加到 2022 年的近 300 个。根据其 CVSS 评分,总共有近 1,000 个漏洞为“严重”或“高严重性”。
虽然CVSS 分数在 ICS 缺陷的情况下可能会产生误导,并且不应单独使用它们来确定修补程序的优先级,但这些分数仍然可用于对满足组织适用性标准的问题进行排名。
Synsaber 的报告显示,西门子在 ICS 漏洞数量方面脱颖而出。不仅 2022 年发现的许多安全漏洞影响了西门子的产品,这家德国工业巨头还自报了最多的漏洞,远远超过其他供应商。
西门子的产品安全团队在 2022 年报告了 544 个漏洞,高于上一年的 230 个。第二个供应商是日立,有 64 个错误。
“西门子产品安全团队继续提高报告频率,同比增长近 3 倍。虽然与其他产品相比,这确实增加了影响西门子产品线的已知 CVE 的数量,但这不应被视为西门子产品的安全性较低。相反,成熟且可重复的 OEM 自我报告流程是所有其他 OEM 应该努力实现的目标,”SynSaber 指出。
西门子通常每个月都会解决数十个漏洞,但其中许多会影响公司产品使用的 第三方组件。
虽然去年发现的漏洞数量很多,但近三分之一的漏洞需要用户交互才能成功利用,大约四分之一需要对目标系统进行本地或物理访问。然而,值得注意的是,与 2021 年相比,需要用户交互和本地访问的缺陷百分比有所下降。
从过去三年的数据来看,一个令人担忧的方面是“永远存在的漏洞”——这些漏洞可能永远不会得到补丁——的数量从 2021 年的 14% 增加到 2022 年的 28%。
ICS 漏洞会影响软件、固件或协议。在 2020 年至 2022 年期间,在这些类别中发现的问题百分比一直相当稳定,软件占 56%,固件占 36%,协议占 8%,这三年平均而言。
来源:E安全