聚焦源代码安全,网罗国内外最新资讯!
编译:360代码卫士团队
工业网络安全公司 Dragos 发布2018年审计报告指出,2018年发布的约三分之一的 ICS 漏洞安全通报中包含基本的事实错误,其中包括对漏洞的描述和严重性评分内容。
去年,Dragos 追踪了204份公开的安全通报,它说明的是影响工控系统的漏洞以及影响进程控制网络如 VPN 防火墙安全的 IT 产品缺陷。这些安全通报(每个月平均有17个安全通报)涵盖443个漏洞。而 Dragos 在2017年追踪了163个安全通报,每个月平均14个安全通报。
在所追踪的所有安全通报中,Dragos 发现32%的安全通报中包含错误,尤其是 CVSS 评分方面。安全专家一致认为 CVSS 评分对于 ICS 漏洞而言可能起着误导作用,而如果 CVSS 评分的计算不当,问题则更多。
Dragos 在报告中指出,“存在如此多的不准确的报告是一种风险:很多组织机构使用公开的安全通报数据来降低风险或满足合规要求。不准确的安全通报意味着这些工作被浪费了,而且依靠安全通报来决定打补丁的优先级或其它修复措施并没有实现降低风险的作用。”
Dragos 指出,通过第三方厂商报告的漏洞获得不正确的 CVSS 评分的几率更大。当厂商自己发现漏洞并公开安全通报时,不正确的 CVSS 评分的几率更小——Dragos 发现仅有18%的源自厂商的安全通报中含有错误。
如果研究人员直接向厂商报告,而不是通过第三方机构如 ICS-CERT 报告研究成果时,CVSS 评分的出错概率更低。当直接向厂商报告时,出错率为24%。Dragos 发现,通过不具名第三方组织机构发布的安全通报中,56%的安全通报中含有不正确的 CVSS 评分。
Dragos 还认为,很多安全通报忽视了工业影响,且未能提供关于利用可能性的信息,这就导致组织机构更难以确定这些缺陷是否需要立即修复。
报告还显示,只有10%的安全通报专注于可能被恶意行为者侵入的控制系统网络的外围系统。另一方面,72%的安全通报覆盖了存在于 HMI、工程工作站、现场设备和工业网络组件中的漏洞。
Dragos 认为研究人员应该更多地关注能导致攻击者访问关键系统如 VPN、防火墙、数据历史记录、OPC 服务器和其它远程访问系统的产品。该公司强调称,已经具有对 HMI、现场设备和工程工作站访问权限的攻击者可能在无需利用任何漏洞的情况下实现目标。
利用 ICS 相关漏洞可导致视图丢失,即系统不再向用户展示数据或展示错误数据;并可导致控制丢失,系统无法受用户控制。
去年披露的超过一半的缺陷可同时导致控制和试图丢失。然而,38%的安全通报说明的是造成另外一种影响的问题。
Dragos 公司解释称,“导致视图和控制丢失的漏洞发生在影响现场设备(PLC、RTU等)传统控制网络的核心以及管理设备如人机界面系统和工程工作站软件。这意味着超过一半(60%)的ICS 漏洞可导致运营终端,至少对于受安全通报影响的组件而言如此。”
除了ICS 漏洞报告外,Dragos 还发布了另外两份报告,说明了威胁组织及其概况,以及从威胁捕获和事件响应中吸取的教训。
推荐阅读
原文链接
https://www.securityweek.com/many-ics-vulnerability-advisories-contain-errors-report
本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士 www.codesafe.cn”。