670 vulnerabilidades de ICS divulgadas pela CISA no primeiro semestre de 2023: análise
A CISA divulgou 670 vulnerabilidades de ICS no primeiro semestre de 2023, mas cerca de um terço não tem patches ou mitigações do fornecedor.
Por
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) divulgou 670 vulnerabilidades que afetam sistemas de controle industrial (ICS) e outros produtos de tecnologia operacional (OT) no primeiro semestre de 2023, de acordo com a empresa de monitoramento de rede e ativos industriais SynSaber.
A análise da SynSaber, conduzida em colaboração com o ICS Advisory Project, mostra que a CISA publicou 185 avisos ICS no primeiro semestre de 2023, abaixo dos 205 no primeiro semestre de 2022. O número de vulnerabilidades cobertas nesses avisos caiu 1,6% no primeiro semestre. 2023 em comparação com o primeiro semestre de 2022.
Mais de 40% das falhas afetam software e 26% afetam firmware. Os OEMs continuaram a relatar a maioria dessas vulnerabilidades — mais de 50% — seguidos por fornecedores de segurança (28%) e pesquisadores independentes (9%).
A indústria transformadora e a energia críticas são os setores de infraestruturas críticas com maior probabilidade de serem afetados pelos CVE comunicados no primeiro semestre de 2023.
Dos CVEs divulgados no primeiro semestre de 2023, 88 foram classificados como 'críticos' e 349 foram classificados como 'alta gravidade'. Mais de 100 falhas exigem acesso local/físico ao sistema alvo e interação do usuário, e 163 exigem algum tipo de interação do usuário, independentemente da disponibilidade da rede.
Trinta e quatro por cento das vulnerabilidades relatadas não têm patch ou correção disponível no fornecedor, acima dos 13% no primeiro semestre de 2022, mas aproximadamente o mesmo que no segundo semestre de 2022.
O aumento no primeiro semestre de 2023 deve-se parcialmente a um comunicado da Siemens que cobre mais de 100 CVEs que afetam o kernel Linux, para os quais os patches ainda não foram lançados pela gigante industrial. Além disso, muitas das vulnerabilidades que não receberão correção afetam produtos sem suporte.
O relatório SynSaber também fornece informações que podem ajudar as organizações a priorizar vulnerabilidades com base em vários fatores.
“Cada ambiente de TO é único e construído especificamente para uma missão específica”, disse Jori VanAntwerp, cofundador e CEO da SynSaber. “Como resultado, a probabilidade de exploração e impacto variará muito para cada organização. Uma coisa é certa: o número de CVEs notificados provavelmente continuará a aumentar ao longo do tempo ou pelo menos permanecerá estável. Esperamos que esta pesquisa ajude os proprietários de ativos a priorizar quando e como mitigar as vulnerabilidades de acordo com seu próprio ambiente.”
Relacionado: Contando vulnerabilidades de ICS: examinando variações nos números relatados por empresas de segurança
Relacionado: Unidades Siemens aumentam em vulnerabilidades de ICS descobertas em 2022: relatório
Eduard Kovacs (@EduardKovacs) é editor-chefe da SecurityWeek. Ele trabalhou como professor de TI no ensino médio por dois anos antes de iniciar uma carreira no jornalismo como repórter de notícias de segurança da Softpedia. Eduard é bacharel em informática industrial e mestre em técnicas de computação aplicadas à engenharia elétrica.
Inscreva-se no SecurityWeek Email Briefing para se manter informado sobre as últimas ameaças, tendências e tecnologias, juntamente com colunas esclarecedoras de especialistas do setor.
Junte-se a especialistas em segurança enquanto eles discutem o potencial inexplorado da ZTNA para reduzir o risco cibernético e capacitar os negócios.
Junte-se à Microsoft e à Finite State para um webinar que apresentará uma nova estratégia para proteger a cadeia de fornecimento de software.
Pensar no que é bom, no que é ruim e no que é feio agora é um processo que nos proporciona “o foco negativo para sobreviver, mas positivo para prosperar”.
Compartilhar informações sobre ameaças e cooperar com outros grupos de inteligência sobre ameaças ajuda a fortalecer as proteções dos clientes e aumenta a eficácia do setor de segurança cibernética em geral.(Derek Manky)