工业控制系统漏洞激增：2023年超三分之一未修复

运营技术网络安全与资产监测公司SynSaber汇编的数据表明，2023年上半年，共有670个ICS产品缺陷经美国网络安全与基础设施安全局（CISA）通报，相比2022年上半年报告的681个有所减少。

按漏洞严重程度划分，这670个CVE中，88个是严重级别（Critical），349个高危（High），215个中危（Medium），18个低危（Low）。而且，其中227个都没有可用的补丁，相比2022年上半年只有88个漏洞无可用补丁可谓增长显著。

SynSaber在报告中写道：“关键制造（报告CVE总数的37.3%）和能源（24.3%）行业是最容易受到影响的。”

其他重要垂直行业包括给排水系统、商业设施、通信、交通运输、化工、医疗保健、食品与农业，以及政府设施。

其他值得注意的发现如下：

• 三菱电机（20.5%）、西门子（18.2）和罗克韦尔自动化（15.9%）是关键制造行业受影响最大的供应商；

• 日立能源（39.5%）、研华科技（10.5%）、台达电子和罗克韦尔自动化（均为7.9%）是能源行业受影响最大的供应商；

• 西门子携41个ICS漏洞咨询蹿升为2023年上半年曝出CVE最多的实体；

• 释放后使用、越界读取、不当输入验证、越界写入和竞态条件位列五大软件缺陷

此外，大部分CVE报告（84.6%）源自美国原始设备制造商（OEM）和安全供应商，紧随其后的是中国、以色列和日本。独立研究机构和学术研究机构分别占9.4%和3.9%。

SynSaber指出：“永久性漏洞依然是个问题：六份CISA漏洞咨询针对到期ICS供应商产品，这些产品都存在‘严重’安全漏洞，且均无更新、补丁、硬件/软件/固件更新或已知解决方案。”

但SynSaber也指出，仅仅依靠CISA的ICS漏洞咨询可能并不足够，企业需要监测多个信息源才能更加了解与自身环境相关的漏洞。

“了解漏洞时应注意漏洞所处的环境。由于每个OT环境都是专门打造的独特环境，漏洞利用的概率及其可能产生的影响因企业而异。”

SynSaber发布报告的同时，物联网网络安全公司Nozomi Networks也披露了针对水处理设施的大量网络扫描指标、建筑材料行业的明文密码警报、工业机械程序传输活动，以及油气网络OT协议数据包注入尝试。

Nozomi Networks称其平均每天检测到813次针对其蜜罐的攻击，攻击者IP主要源自中国、美国、韩国、中国台湾地区和印度。