Claroty‘s Team82發(fā)布的XIoT安全狀況報(bào)告：2022年上半年揭示了物聯(lián)網(wǎng)漏洞、供應(yīng)商自我披露以及完全或部分修復(fù)的固件漏洞的增加。

　　根據(jù)網(wǎng)絡(luò)物理系統(tǒng)保護(hù)公司 Claroty 今天發(fā)布的新研究，與前六個(gè)月相比，影響物聯(lián)網(wǎng)設(shè)備的漏洞披露在 2022 年上半年 (1H) 增加了 57%。

　　XIoT 安全狀況報(bào)告：1H 2022 還發(fā)現(xiàn)，在同一時(shí)間段內(nèi)，供應(yīng)商的自我披露增加了 69%，報(bào)告的數(shù)量首次超過(guò)了獨(dú)立研究機(jī)構(gòu)，完全或部分修復(fù)的固件漏洞增加了 79 個(gè)%，鑒于修補(bǔ)固件與軟件漏洞的相對(duì)挑戰(zhàn)，這是一個(gè)顯著的改進(jìn)。

　　該報(bào)告由 Claroty 屢獲殊榮的研究團(tuán)隊(duì) Team82 編寫，深入研究和分析了影響擴(kuò)展物聯(lián)網(wǎng) (XIoT) 的漏洞，這是一個(gè)龐大的網(wǎng)絡(luò)物理系統(tǒng)網(wǎng)絡(luò)，包括運(yùn)營(yíng)技術(shù)和工業(yè)控制系統(tǒng) (OT/ICS )、醫(yī)療物聯(lián)網(wǎng) (IoMT)、樓宇管理系統(tǒng)和企業(yè)物聯(lián)網(wǎng)。該數(shù)據(jù)集包含 Team82 發(fā)現(xiàn)的漏洞以及來(lái)自可信開源的漏洞，包括國(guó)家漏洞數(shù)據(jù)庫(kù) (NVD)、工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組 (ICS-CERT)、CERT@VDE、MITRE 以及工業(yè)自動(dòng)化供應(yīng)商施耐德電氣和西門子.

　　“在將事物連接到互聯(lián)網(wǎng)數(shù)十年后，網(wǎng)絡(luò)物理系統(tǒng)正在對(duì)我們?cè)诂F(xiàn)實(shí)世界中的體驗(yàn)產(chǎn)生直接影響，包括我們吃的食物、喝的水、乘坐的電梯以及我們接受的醫(yī)療服務(wù)， ” Claroty 研究副總裁 Amir Preminger 說(shuō)。

　　“我們開展這項(xiàng)研究是為了讓這些關(guān)鍵領(lǐng)域的決策者對(duì)XIoT漏洞狀況有一個(gè)完整的了解，使他們能夠正確評(píng)估、優(yōu)先處理和解決支撐公共安全、患者健康、智能電網(wǎng)和公用事業(yè)等的關(guān)鍵任務(wù)系統(tǒng)的風(fēng)險(xiǎn)?！?/p>

　　主要發(fā)現(xiàn)

　　? 物聯(lián)網(wǎng)設(shè)備：15% 的漏洞出現(xiàn)在物聯(lián)網(wǎng)設(shè)備中，與 Team82 上一份涵蓋 2021 年下半年 (2H) 的報(bào)告中的 9% 相比顯著增加。此外，物聯(lián)網(wǎng)和 IoMT 漏洞的組合首次出現(xiàn) (18.2%) ) 超過(guò) IT 漏洞 (16.5%)。這表明供應(yīng)商和研究人員加強(qiáng)了對(duì)保護(hù)這些連接設(shè)備的理解，因?yàn)樗鼈兛梢猿蔀楦钊氲木W(wǎng)絡(luò)滲透的門戶。

　　? 供應(yīng)商自我披露：供應(yīng)商自我披露 (29%) 首次超過(guò)獨(dú)立研究機(jī)構(gòu) (19%)，成為僅次于第三方安全公司 (45%) 的第二大漏洞報(bào)告者。發(fā)布的 214 個(gè) CVE 幾乎是 Team82 2H 2021 報(bào)告中的 127 個(gè)總數(shù)的兩倍。這表明越來(lái)越多的 OT、IoT 和 IoMT 供應(yīng)商正在建??立漏洞披露程序，并投入更多資源來(lái)檢查其產(chǎn)品的安全性和安全性。

　　? 固件：已發(fā)布的固件漏洞與軟件漏洞幾乎持平(分別為 46% 和 48%)，與 2H 2021 報(bào)告相比大幅躍升，當(dāng)時(shí)軟件 (62%) 和固件 (37%) 之間的差距幾乎為 2:1 .該報(bào)告還顯示，完全或部分修復(fù)的固件漏洞顯著增加(2022 年 1 月為 40%，高于 2021 年 2 月的 21%)，鑒于更新周期較長(zhǎng)和維護(hù)窗口不頻繁，修補(bǔ)固件面臨相對(duì)挑戰(zhàn)，這一點(diǎn)值得注意。這表明研究人員對(duì)保護(hù)低級(jí)別 Purdue 模型的設(shè)備越來(lái)越感興趣，這些設(shè)備與流程本身更直接相關(guān)，因此對(duì)攻擊者來(lái)說(shuō)更有吸引力。

　　? 數(shù)量和嚴(yán)重性：平均而言，XIoT 漏洞以每月 125 個(gè)的速度發(fā)布和解決，到 2022 年上半年達(dá)到 747 個(gè)。絕大多數(shù)的 CVSS 得分為嚴(yán)重 (19%) 或高嚴(yán)重性 (46%) )。

　　? 影響：近四分之三 (71%) 對(duì)系統(tǒng)和設(shè)備可用性有很大影響，這是最適用于 XIoT 設(shè)備的影響指標(biāo)。主要的潛在影響是未經(jīng)授權(quán)的遠(yuǎn)程代碼或命令執(zhí)行(在 54% 的漏洞中普遍存在)，其次是拒絕服務(wù)條件(崩潰、退出或重啟)，占 43%。

　　? 緩解措施：首要緩解措施是網(wǎng)絡(luò)分段(在 45% 的漏洞披露中建議使用)，其次是安全遠(yuǎn)程訪問(wèn) (38%) 和勒索軟件、網(wǎng)絡(luò)釣魚和垃圾郵件防護(hù) (15%)。

　　? Team82 貢獻(xiàn)：Team82 繼續(xù)在 OT 漏洞研究方面處于領(lǐng)先地位，在 1H 2022 中披露了 44 個(gè)漏洞，迄今為止共披露了 335 個(gè)漏洞。