Claroty‘s Team82發(fā)布的XIoT安全狀況報告：2022年上半年揭示了物聯(lián)網(wǎng)漏洞、供應商自我披露以及完全或部分修復的固件漏洞的增加。

根據(jù)網(wǎng)絡物理系統(tǒng)保護公司 Claroty 今天發(fā)布的新研究，與前六個月相比，影響物聯(lián)網(wǎng)設(shè)備的漏洞披露在 2022 年上半年 (1H) 增加了 57%。

XIoT 安全狀況報告：1H 2022 還發(fā)現(xiàn)，在同一時間段內(nèi)，供應商的自我披露增加了 69%，報告的數(shù)量首次超過了獨立研究機構(gòu)，完全或部分修復的固件漏洞增加了 79 個%，鑒于修補固件與軟件漏洞的相對挑戰(zhàn)，這是一個顯著的改進。

該報告由 Claroty 屢獲殊榮的研究團隊 Team82 編寫，深入研究和分析了影響擴展物聯(lián)網(wǎng) (XIoT) 的漏洞，這是一個龐大的網(wǎng)絡物理系統(tǒng)網(wǎng)絡，包括運營技術(shù)和工業(yè)控制系統(tǒng) (OT/ICS )、醫(yī)療物聯(lián)網(wǎng) (IoMT)、樓宇管理系統(tǒng)和企業(yè)物聯(lián)網(wǎng)。該數(shù)據(jù)集包含 Team82 發(fā)現(xiàn)的漏洞以及來自可信開源的漏洞，包括國家漏洞數(shù)據(jù)庫 (NVD)、工業(yè)控制系統(tǒng)網(wǎng)絡應急響應小組 (ICS-CERT)、CERT@VDE、MITRE 以及工業(yè)自動化供應商施耐德電氣和西門子.

“在將事物連接到互聯(lián)網(wǎng)數(shù)十年后，網(wǎng)絡物理系統(tǒng)正在對我們在現(xiàn)實世界中的體驗產(chǎn)生直接影響，包括我們吃的食物、喝的水、乘坐的電梯以及我們接受的醫(yī)療服務， ” Claroty 研究副總裁 Amir Preminger 說。

“我們開展這項研究是為了讓這些關(guān)鍵領(lǐng)域的決策者對XIoT漏洞狀況有一個完整的了解，使他們能夠正確評估、優(yōu)先處理和解決支撐公共安全、患者健康、智能電網(wǎng)和公用事業(yè)等的關(guān)鍵任務系統(tǒng)的風險。”

主要發(fā)現(xiàn)

• 物聯(lián)網(wǎng)設(shè)備：15% 的漏洞出現(xiàn)在物聯(lián)網(wǎng)設(shè)備中，與 Team82 上一份涵蓋 2021 年下半年 (2H) 的報告中的 9% 相比顯著增加。此外，物聯(lián)網(wǎng)和 IoMT 漏洞的組合首次出現(xiàn) (18.2%) ) 超過 IT 漏洞 (16.5%)。這表明供應商和研究人員加強了對保護這些連接設(shè)備的理解，因為它們可以成為更深入的網(wǎng)絡滲透的門戶。
• 供應商自我披露：供應商自我披露 (29%) 首次超過獨立研究機構(gòu) (19%)，成為僅次于第三方安全公司 (45%) 的第二大漏洞報告者。發(fā)布的 214 個 CVE 幾乎是 Team82 2H 2021 報告中的 127 個總數(shù)的兩倍。這表明越來越多的 OT、IoT 和 IoMT 供應商正在建??立漏洞披露程序，并投入更多資源來檢查其產(chǎn)品的安全性和安全性。
• 固件：已發(fā)布的固件漏洞與軟件漏洞幾乎持平（分別為 46% 和 48%），與 2H 2021 報告相比大幅躍升，當時軟件 (62%) 和固件 (37%) 之間的差距幾乎為 2:1 .該報告還顯示，完全或部分修復的固件漏洞顯著增加（2022 年 1 月為 40%，高于 2021 年 2 月的 21%），鑒于更新周期較長和維護窗口不頻繁，修補固件面臨相對挑戰(zhàn)，這一點值得注意。這表明研究人員對保護低級別 Purdue 模型的設(shè)備越來越感興趣，這些設(shè)備與流程本身更直接相關(guān)，因此對攻擊者來說更有吸引力。
• 數(shù)量和嚴重性：平均而言，XIoT 漏洞以每月 125 個的速度發(fā)布和解決，到 2022 年上半年達到 747 個。絕大多數(shù)的 CVSS 得分為嚴重 (19%) 或高嚴重性 (46%) ）。
• 影響：近四分之三 (71%) 對系統(tǒng)和設(shè)備可用性有很大影響，這是最適用于 XIoT 設(shè)備的影響指標。主要的潛在影響是未經(jīng)授權(quán)的遠程代碼或命令執(zhí)行（在 54% 的漏洞中普遍存在），其次是拒絕服務條件（崩潰、退出或重啟），占 43%。
• 緩解措施：首要緩解措施是網(wǎng)絡分段（在 45% 的漏洞披露中建議使用），其次是安全遠程訪問 (38%) 和勒索軟件、網(wǎng)絡釣魚和垃圾郵件防護 (15%)。
• Team82 貢獻：Team82 繼續(xù)在 OT 漏洞研究方面處于領(lǐng)先地位，在 1H 2022 中披露了 44 個漏洞，迄今為止共披露了 335 個漏洞。