分析数十年的ICS利用，确定漏洞修复优先级

admin

102205
文章

87
评论

2021年11月18日01:14:25评论90 views字数 2272阅读7分34秒阅读模式

分析数十年的ICS利用，确定漏洞修复优先级聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士

工业网络安全公司 Dragos 发布了针对工控和运营技术系统漏洞的分析表示，这些研究成果有助于防御人员对漏洞修复和缓解促使进行优先级排序。

十年来，Dragos 公司一直都在追踪3000多个 ICS 和OT 漏洞，结果不出意料地发现这些缺陷的数量不断增多。

2020年漏洞总量减少

2020年，这些漏洞的数量少于前两年的数量。然而，比漏洞数量更重要的事情在于确定其中哪些漏洞对组织机构带来真正风险，因此在评估风险时需要考虑多种因素。Dragos 公司不仅追踪了漏洞的披露，而且还追踪了相关 exploit 的可用性，后者使得技能较低的威胁行动者实际上也能利用安全漏洞。

Dragos 公司注意到，在2020年披露的漏洞中，仅有8%拥有公开的 exploit。一种可能的解释是趋势科技ZDI已经收购了很多工控漏洞，而且禁止研究员公开 PoC 利用。而ZDI 购买工控缺陷的行为也解释了为何2020年披露的漏洞很少：ZDI 的漏洞披露期限是120天，而且还常常延期，使得2020年找到的漏洞只能在2021年发布。

7家厂商占据近半壁江山

Dragos 发现了针对110多家厂商产品的近600个公开的工控 exploit。然而，七家主流厂商仅占约40%的所有已公开 exploit，包括 Advantech、Rockwell Automation 及其 Allen-Bradley 品牌、Moxa、微软、西门子和施耐德电气。微软也在其中的原因是很多ICS/OT系统运行在 Windows 系统上且由于 Windows 漏洞的存在而被暴露到攻击中。

很多公开的 ICS 利用针对“站点操作“层面的设备，可成为进入工业网络的初始访问点。一旦恶意人员触达工业网络，就手握数百个公开 exploit 可以处置。

对于多数访问级别而言，远程代码执行是最容易造成的影响，但拒绝服务在针对控制设备 exploit 方面领先。对于这种级别的控制器和其它设备而言，拒绝服务 exploit 更易于开发且和远程代码执行影响而言，它对真实环境产生的影响更大。

Dragos 公司注意到某些 exploit 类型不可能用于真实攻击中。例如，针对可编程逻辑控制器（PLCs）的跨站点脚本伪造和跨站点脚本 exploit。报告指出，“例如，针对PLC的 CSRF 不可能在野利用，因为它要求受害者登录到 PLC 的web 接口并导航至恶意站点（或点击恶意链接），而且要求攻击者构造能够解决受害者 PLC 的URL。而这是不可能存在的场景。”

公开漏洞的人员身份

至于公开了这些 exploit 的人员身份问题，Dragos 公司发现近一半的exploit 作者就职于企业或高校。其中三家单位公开的 exploit 数量超过一半，它们是 Rapid7 公司（Metasploit 项目）、思科 Talos 研究和情报团队以及 Tenable 公司。

近三分之一的 exploit 披露自第三方安全公告，其次是 Metasploit、Exploit-DB exploit 数据库、GitHub 或 Bitbucket 的个人库以及其它各种来源如推特、白皮书、bug追踪工具、Full Disclosure 和 Packet Storm。

在很多种情况下，研究人员披露 PoC exploit 是为了帮助其他人了解自己的研究成果。如果排除这类 exploit，则Dragos 公司认为漏洞披露后，exploit 被公开的中位数用时是24天。该公司表示，“ICS/OT 网络防御人员可以认为，平均而言，CVE漏洞首次公开30天后就会出现相关exploit。”