2020上半年工业控制系统已披露漏洞中近七成可远程利用

工业网络安全公司Claroty8月19日发布了新的《2020上半年度ICS风险和漏洞报告》显示，2020年上半年披露的工业控制系统（ICS）漏洞中，可以远程利用的超过60％。该报告强调了保护面向Internet的ICS设备和远程访问连接的重要性。Claroty公司发现并披露的漏数量为26个。

以下内容摘译自Claroty公司的报告。

一、主要发现

最常见的潜在影响是远程代码执行(远端控制设备),可能占到漏洞总数的49%——这反映出其突出的主要领域集中在OT安全研究社区,其次是读应用程序数据(占41%),导致拒绝服务(39%),和旁路保护机制(37%)。全球COVID-19大流行，导致远程办公的迅速增加，以及更加依赖远程访问来维护ICS网络，这进一步增强了远程开发的重要性。

Claroty研究副总裁Amir Preminger说：工业控制系统用于现实世界中的大多数关键基础设施，最初是为具有不同优先级的截然不同的世界而构建的。他们没有连接到互联网，因此没有被设计为修补或更新。然而，今天我们有了一个完全不同的情况。通过数字化，ICS正迅速连接到现代IT网络，使它们面临IT世界所面临的所有风险，但往往没有同样地关注网络安全。

关键基础架构中的停机时间可能是灾难性的，甚至可能导致人员伤亡，因此，如果威胁因素想要造成真正的损失，则ICS网络是重要的目标。

2020年上半年，能源，关键制造以及水和废水基础设施领域，是ICS-CERT公告中发布的漏洞影响最大的领域。在该公告中包含的385个独特的漏洞（CVE）中，能源占236个，关键制造业有197个，水务和废水处理行业有171个。

Preminger补充说：如果没有得到适当的保护，面向Internet的ICS设备可以为进入OT网络及其基础的重要工业流程提供通道。” “专家们可以利用多种开源、合法的互联网扫描服务（例如Shodan.io和Censys.io）来帮助他们识别基于Web的人机界面（HMI）和其他ICS设备。在这种情况下，这些设备不受口令保护，可以立即向对手授予不受限制的访问权限。

二、分类统计分析

受Claroty公司发现的26个ICS漏洞影响的主要ICS厂商。西门子、施耐德、Opto22、罗克韦尔等大厂赫然在列。

受Claroty公司发现的26个ICS漏洞影响的主要ICS产品分布如下。SCADA、PLC、路由器、EWS等。

成功利用由Claroty研究团队发现并在2020年披露的26个漏洞中的任何一个，都可能对受影响的OT网络产生严重影响，其中60％以上的漏洞启用了某种形式的远程代码执行（RCE）。这26个漏洞所涵盖的其他影响类型包括拒绝服务（DoS）和以太网供电（PoE）。影响类型如下图所示。

美国国家漏洞库NVD在2020年上半年发布了365个ICS漏洞，与2019年上半年发布的331个相比，增长了10.3％。其中超过75％的漏洞被指定为CVSS严重等级或严重等级。该观察结果反映了ICS安全研究人员的广泛趋势，即着重于识别具有最大潜在影响的漏洞，以最大程度地减少危害。这些漏洞涉及到53个厂商。

ICS-CERT在2020年上半年发布了139条ICS公告，比2019年上半年发布的105条公告增长了32.4％。这些公告包括385个常见漏洞和披露（CVE），影响了53个供应商。

在2020年上半年发布的ICS-CERT咨询中，安全研究人员（包括与ICS供应商或其他组织有关联的人员）占71.4％，这证明了第三方在审核支撑工业运营的ICS设备和系统的安全性方面发挥着关键作用。其余28.6％的咨询来自ICS供应商进行的内部研究和测试。

与2019年上半年来自供应商的ICS-CERT咨询的21.6％相比，这是温和但显着的增长，这可能反映了ICS供应商对其产品安全性的审查越来越严格。

下图描述了NVD在2020年上半年基于CWE发布的ICS漏洞的最普遍潜在影响，反映了远程代码执行作为OT安全研究社区关注的重点领域的突出地位。排在远程执行代码后面的是明显的第二层次的潜在影响：分别是允许攻击者读取应用程序数据、导致DoS或绕过保护机制。

三、建议

Claroty研究小组建议实施以下预防措施和控制措施，以便帮助最大程度地降低风险并减轻ICS风险与脆弱性方面的影响。

(一)、保护远程访问连接

为限制COVID-19大流行的蔓延而进行的努力推动了远程办公的增长，对确保OT网络的安全仍具有重要意义。保护远程访问连接至关重要。

1、确认使用最新版本的VPN

2、监视远程连接，尤其是到OT网络和ICS设备的远程连接

3、强制执行精细的用户访问权限和管理控制

4、实施多因素身份验证

（二）、防止网络钓鱼，垃圾邮件和勒索软件的保护

远程工作的增加导致了对电子邮件作为重要通信机制的依赖。因此，这些情况还增加了网络钓鱼或垃圾邮件攻击以及因此勒索软件和其他恶意软件感染使人员成为目标的风险。

1、请勿打开电子邮件或从不受信任的来源下载软件

2、不要单击来自未知发件人的电子邮件中的链接或附件

3、请勿通过电子邮件向任何人提供口令、个人或财务信息

4、始终验证电子邮件发件人的电子邮件地址、名称和域名

5、经常备份重要文件，并将其与主系统分开存储

6、使用防病毒，反垃圾邮件和反间谍软件保护设备

7、立即向适当的安全部门或IT人员报告网络钓鱼电子邮件

（三）、保护面向互联网的ICS设备

如果没有得到适当的保护，面向Internet的ICS设备可以提供通往OT网络及其基础的重要工业流程的途径。加剧这一风险的事实是，已知对手可以使用多种开源、合法的互联网扫描服务（例如Shodan.io和Censys.io）来帮助他们识别基于Web的人机界面（HMI）以及可能已无意间暴露给互联网的其他ICS设备。

如果此类目标设备受口令保护，则已知对手会尝试强行破解口令。但是，在许多情况下，这些ICS设备完全不受口令保护，从而为对手提供了不受限制的访问权限。Claroty研究小组建议ICS运营商严格遵守以色列计算机紧急响应小组（IL-CERT）的建议，这些建议与针对关键基础设施的威胁有关。

1、确保所有与Internet连接的ICS设备均受口令保护，并且严格执行口令卫生措施；

2、对所有ICS设备和连接的系统实施基于角色和策略的精细管理访问；

3、使用加密、访问控制列表和适用于OT网络的适当远程访问技术等机制保护所有远程访问连接的安全；

4、遵循OT安全最佳实践，例如维护准确的资产清单，正确划分OT网络，实施持续的威胁监视以及维护全面的风险和漏洞管理实践。

文章来源：网空闲话

往期精选

1	关键信息基础设施的等保2.0之路 | 港口企业篇
2	一文排查Apache Solr远程代码执行漏洞CVE-2019-12409
3	原创 | 嵌入式系统网络安全的过去、现在和未来

点击“在看”鼓励一下吧