Do total de vulnerabilidades que afetam sistemas de controle industrial, cerca de um terço não possui patches ou mitigações do fornecedor
A Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA divulgou 670 vulnerabilidades que afetam sistemas de controle industrial (ICS) e outros produtos de tecnologia operacional (OT) no primeiro semestre deste ano, de acordo com a empresa de monitoramento de rede e ativos industriais SynSaber.
A análise da SynSaber, realizada em colaboração com o ICS Advisory Project, mostra que a CISA publicou 185 alertas de ICS no primeiro semestre de 2023, abaixo dos 205 no primeiro semestre de 2022. O número de vulnerabilidades cobertas nesses alertas caiu 1,6% no primeiro semestre 2023 em comparação com o primeiro semestre de 2022.
O ICS Advisory Project é um projeto que fornece uma ferramenta de análise de código aberto para proprietários de ativos de tecnologia operacional (OT), CISOs, analistas e pesquisadores de segurança cibernética para identificar ameaças e vulnerabilidades por produto, fornecedor e setor de infraestrutura crítica.
Mais de 40% das falhas afetam o software e 26% afetam o firmware de sistemas ICS. Os OEMs continuaram relatando a maioria dessas vulnerabilidades — mais de 50% —, seguidos por fornecedores de segurança (28%) e pesquisadores independentes (9%).
Manufatura e energia são os setores de infraestrutura crítica com maior probabilidade de serem afetados pelos CVEs relatados no primeiro semestre. Dos CVEs divulgados entre janeiro e junho, 88 foram classificados como “críticos” e 349 foram classificados como de “alta gravidade”. Mais de 100 falhas exigem acesso local/físico ao sistema de destino e interação do usuário, e 163 exigem algum tipo de interação do usuário, independentemente da disponibilidade da rede.
Trinta e quatro por cento das vulnerabilidades relatadas não tinham um patch ou correção disponível do fornecedor, acima dos 13% no primeiro semestre de 2022, mas aproximadamente o mesmo que no segundo semestre daquele ano.
O aumento no primeiro semestre se deve parcialmente a um comunicado da Siemens que cobre mais de 100 CVEs que afetam o kernel do Linux, para os quais os patches ainda não foram lançados pela gigante industrial alemã. Além disso, muitas das vulnerabilidades que não receberão um patch afetam produtos sem suporte.
O relatório SynSaber também fornece informações que podem ajudar as organizações a priorizar vulnerabilidades com base em vários fatores. “Cada ambiente de OT é único e construído para uma missão específica”, disse Jori VanAntwerp, cofundador e CEO da SynSaber. “Como resultado, a probabilidade de exploração e impacto varia muito para cada organização. Uma coisa é certa: o número de CVEs relatados provavelmente continuará aumentando ao longo do tempo ou pelo menos permanecerá estável. Esperamos que esta pesquisa ajude os proprietários de ativos a priorizar quando e como mitigar as vulnerabilidades de acordo com seu próprio ambiente.”
FONTE: CISO ADVISOR