2020年度西门子工业漏洞分析报告

  • A+
所属分类:安全新闻

【编者按】

西门子是全球电子电气工程领域的领先企业,其产品是工业控制领域的主流设备,广泛应用于电力行业、石油石化、轨道交通、智能制造、钢铁冶金等多个关键基础设施领域。2020年度,美国ICS-CERT共计发布漏洞咨询279个,其中关于西门子的漏洞咨询有83个,其中严重漏洞及高危漏洞占比高达71.83%。种类最多的漏洞类型是缓存溢出,其次是未授权访问及敏感信息明文未加密。

天地和兴工业网络安全研究院整理了2020年度ICS-CERT披露的关于西门子的漏洞数量、漏洞严重程度、漏洞利用方法、漏洞类型、风险评估、及影响行业,为相关企业及监管部门提供参考,防患于未然。

一、

漏洞数量


根据美国ICS-CERT发布的漏洞咨询,2020年1月1日至2020年12月28日,共计发布漏洞咨询279个,其中西门子83个,约占29.75%。2019年度,共计发布漏洞咨询206个,其中西门子40个,占比约为19.42%。


2020年度西门子工业漏洞分析报告

图1 ICS-CERT发布的漏洞咨询数量



2020年美国ICS-CERT发布的漏洞咨询数量高于2019年,其中关于西门子的漏洞咨询数量也显著增加。与2019年相比,2020年发布的漏洞咨询总数增长了35.44%,关于西门子的漏洞咨询数量更是暴增107.50%。然而这种增加与安全研究人员对ICS安全性的关注度增加有关,并不意味着产品开发质量下降。


德国西门子股份公司创立于1847年,是全球电子电气工程领域的领先企业。西门子自1872年进入中国,140余年来以创新的技术、卓越的解决方案和产品坚持不懈地对中国的发展提供全面支持,并以出众的品质和令人信赖的可靠性、领先的技术成就、不懈的创新追求,确立了在中国市场的领先地位。


二、漏洞严重




2020年度西门子工业漏洞分析报告

图2 2020年度西门子漏洞严重程度占比(基于CVSS v3)


2020年度西门子工业漏洞分析报告

图3 2019年度西门子漏洞严重程度占比(基于CVSS v3)


2020年度西门子工业漏洞分析报告

图4 2020年度ICS-CERT漏洞严重程度占比(基于CVSS v3)


2020年度西门子工业漏洞分析报告

图5 2019年度ICS-CERT漏洞严重程度占比(基于CVSS v3)


2020年度,ICS-CERT发布的严重漏洞(CVSS 9-10分)及高危漏洞(CVSS 7-8.9分)占比高达79.46%,比2019年的75.25%略有上升。

2020年度,ICS-CERT发布的关于西门子的严重漏洞(CVSS 9-10分)及高危漏洞(CVSS 7-8.9分)占比高达71.83%,比2019年的75.00%略有下降。

无论是2019年还是2020年,整体工业行业高危以上漏洞占比依旧很高,约为3/4,整体安全态势依旧不容乐观。




三、漏洞利用方法


2020年度西门子工业漏洞分析报告

图6 西门子漏洞利用方法对比


2020年度西门子工业漏洞分析报告

7 ICS-CERT漏洞利用方法对比


虽然2020年漏洞披露数量比2019年有所增加,但是漏洞利用方法并没有什么区别。整体来看,低技能水平利用及可远程利用占了绝大部分,其实低技能水平往往是和可远程利用绑定的。绝大部分的漏洞都可以通过exp,甚至一个小白都可以进行攻击。还有一些是公开漏洞没打补丁,仅仅有一小部分是需要相邻网络,只有微乎其微的需要高技能水平的漏洞利用。整体安全态势还是需要重视和改进的。西门子漏洞和整体的漏洞并无较大区别,都需要进一步的加强来减少漏洞。



四、漏洞类型


2020年度西门子工业漏洞分析报告

图8 2020年度西门子漏洞类型占比


2020年度西门子工业漏洞分析报告

图9 2019年度西门子漏洞类型占比



2020年度西门子工业漏洞分析报告

图10 2020年度ICS-CERT漏洞类型占比


2020年度西门子工业漏洞分析报告

图11 2019年度ICS-CERT漏洞类型占比


2020年比2019年漏洞增加不少,但是漏洞类型比例并无太差差别。整体上,漏洞种类繁多。对于应用程序设计之初的缓存溢出漏洞依旧是主要漏洞类型,其次是未授权访问,敏感信息明文未加密。西门子相较于整体来说并无太大却别,但是敏感信息加密保护做得比较好。



五、漏洞风险

2020年度西门子工业漏洞分析报告

图12 2020年度西门子漏洞风险占比


2020年度西门子工业漏洞分析报告

图13 2019年度西门子漏洞风险占比


2020年度西门子工业漏洞分析报告

图14 2020年度ICS-CERT漏洞风险占比


2020年度西门子工业漏洞分析报告

图15 2019年度ICS-CERT漏洞风险占比



整体上,拒绝服务、代码执行、获取敏感信息、修改配置占据了大部分的漏洞风险,西门子的漏洞比例除了未授权访问和整体并无较大区别。



六、影响行业

2020年度西门子工业漏洞分析报告

图16 西门子漏洞影响行业对比


2020年度西门子工业漏洞分析报告

图17 ICS-CERT漏洞影响行业对比


相较于2019年,整体上各行业均有明显的上升趋势。对于西门子及其他设备生产商来说,制造、能源、水利、农业、化工为主要的影响行业,这些行业的风险会对社会生产生活造成较大的影响。因此这些行业应该着重关注最新漏洞的报送情况,及时的解决问题,升级组件,加强补丁来解决风险隐患。



七、总结



就算是品质出众、技术领先的西门子,依然在今年有层出不穷的各类的漏洞,很多漏洞低技能水平,小白抱着一个exp顺着网线就利用漏洞。工业安全路漫漫,唯有砥砺复前行。


2020年度西门子工业漏洞分析报告


文章来源: 天地和兴


2020年度西门子工业漏洞分析报告

本文始发于微信公众号(互联网安全内参):2020年度西门子工业漏洞分析报告

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: