2023年ICS/OT漏洞态势概览

2023年ICS/OT漏洞态势概览

时间:2024-1-18 作者:安帝科技 原创

随着数字化转型的加速,ICS/OT新兴应用的伴生风险以及ICT供应链和第三方应用风险持续累加。北京安帝科技有限公司CSX安全实验室对美国CISA工业控制系统网络应急小组(ICS-CERT)在2023年发布的安全咨询进行分析,统计每个在公告中确定的CVE漏洞数据,从ICS漏洞危害等级、CWE类型占比、影响行业、漏洞影响厂商四个角度进行统计分析,得到了以下关键发现。
>>>>2023年ICS-CERT发布了376条安全咨询报告,涉及1476个CVE漏洞。
>>>> 2023年的ICS漏洞数量较2022年的1268个仍在增长,涨幅16.48%,其中中危级别的漏洞增幅显著。
>>>> 在1476个漏洞中,其中230个CVE的严重程度被评为“严重”,746个被评为“高”,两者总比总和危66%低于2022年的77%。
>>>> 漏洞覆盖了207个CWE类型,数量最高的是CWE-416 UAF。
>>>> 受ICS漏洞影响最严重的行业依旧为制造业、能源。
>>>> 与2022年相比,影响关键制造业的漏洞数量从460个增长至823个,占比47.68%。
>>>> 影响西门子产品的漏洞为高达1093个,数量最多,占比74%。
1、ICS漏洞趋势
结合安帝科技2022的报告,发现评级为“中危”的漏洞数量增长更为显著,从2022年的268个增加到 2023年的438个,增长170个,涨幅为63.43%。

2、ICS漏洞危害等级分布
2023年确定的ICS CVE漏洞为1476个,其中230个CVE的严重程度被评为“严重”,746个被评为“高危”,438个被评为“中危”,62个被评为“低危”严重程度。

3、ICS漏洞CWE类型占比Top10

CWE-416 UAF
占比8.51%。漏洞产生的原因为内存管理不当,在释放(free)了某块内存后,程序继续使用了已释放的内存区域,可能导致严重的安全问题。这种漏洞对计算机系统和用户数据构成严重威胁,攻击者可以利用它们执行恶意代码,篡改数据,或者导致系统崩溃。
CWE-125 越界读取
占比6.84%。软件读取的数据超过了预定缓冲区的末端或在开始之前。攻击者可以利用这一点导致崩溃或从其他内存位置访问信息。
CWE-787 越界内存写
占比5.74%。内存安全漏洞,指的是在程序中使用未分配给该变量的堆栈空间进行写操作,从而导致对其他数据的覆盖或者执行任意代码。这种漏洞通常是由于编程错误、缓冲区溢出等原因导致的。攻击者可以利用这种漏洞来执行代码并获取系统权限,从而导致系统的不稳定或安全问题。
CWE-20 输入验证不当
占比5.33%。产品收到输入或数据,但它没有验证或不正确地验证输入是否具有安全和正确处理数据所需的属性。攻击者可以利用这一点来完成RCE,改变控制流,或控制资源。
CWE-476 空指针引用
占比3.13%。如果一个指针变量的值为NULL,解引用这个指针时,会导致程序崩溃。
CWE-190 整数溢出或超界折返
占比3.13%。一个整数存入了比它本身小的存储空间中,超出了数据类型所能表示的范围时,就会发生整数溢出。
CWE-79 在网页生成过程中不正确地中和输入(“跨站脚本”
占比2.55%。软件没有中和或不正确地中和用户可控制的输入,然后将其置于输出中,作为网页提供给其他用户。攻击者可以利用这一点,注入一个恶意脚本,实现许多不同的目标,包括诱使受害者输入密码或利用浏览器的漏洞来接管受害者的设备。
CWE-284 访问控制不当
占比2.26%。没有限制或错误地限制未经授权的行为者对资源的访问,攻击者可以通过获取特权、读取敏感信息、执行命令、逃避检测等方式危及软件的安全性。
CWE-78 操作系统命令注入
占比2.20%。攻击者可以使用命令注入来执行系统终端命令,直接接管服务器的控制权限。
CWE-120 不检查输入数据大小就复制缓冲区
占比2.20%。内存copy没有检查输入的长度,可能导致目的的内存的损坏。
4、ICS漏洞影响行业Top5
2023年,影响关键制造的漏洞数量位居第一,从2022年的460个增长至823个,占比47.68%。与此同时能源和水和污水处理行业仍然是最脆弱的行业。

5、ICS漏洞影响厂商分布Top10
128家供应商受到影响,其中西门子依旧位居首位,受影响的漏洞数高达1093个,总占比达74.05%。

后记
持续走高的OT/ICS漏洞总体数量(1476)和高危漏洞数量(746),给OT漏洞管理提出了更大更复杂的挑战。一是OT漏洞检测的挑战,多年探索并未有根本性变化。目前的重点仍然是资产清单、漏洞发现以及将这些信息映射到风险评估。二是OT漏洞管理仍然缺乏有效的自动化手段,尚没有可供机读的漏洞披露报告(VDR)的统一格式。三是补丁修复解决方案仍然面临现实的困扰,不敢打没法打。资产所有者尝试打补丁,但对于监控和控制物理系统的HMI和PLCs/控制器而言,却止步于意外停机的风险。行业之间也可能存在差异,离散制造行业,如汽车、烟草,存在周期停机的时间窗口。能源、化工等连续的过程工业则几乎没有窗口期。这使得OT网络安全的最后一公里,风险隐患长期相伴,围绕OT资产、漏洞、配置、补丁等基础安全能力的生成成为长期的任务。这进一步表明,在OT域的功能安全、网络安全、数据安全交织融合,设计安全和默认安全尚未到位的背景下,网络弹性、系统弹性、业务弹性理应成为业务系统和OT网络安全融合的现实目标。