Cerca de 34% das vulnerabilidades de segurança que afetam os sistemas de controle industrial (ICSs) reportados no primeiro semestre de 2023 não possuem patch ou remediação, registrando um aumento significativo de 13% em relação ao ano anterior.
De acordo com dados compilados pela SynSaber, um total de 670 falhas de produtos ICS foram reportadas através da Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) no primeiro semestre de 2023, abaixo das 681 reportadas durante o primeiro semestre de 2022.
Dos 670 CVEs, 88 são classificados como Críticos, 349 são classificados como altos, 215 são classificados como Médios e 18 são classificados como Baixos em gravidade.
227 das falhas não têm soluções em comparação com 88 no primeiro semestre de 2022.
"Manufatura crítica (37,3% do total de CVEs reportados) e Energia (24,3% do total reportado) são os setores mais propensos a serem afetados", disse a empresa de monitoramento de ativos e segurança cibernética OT em um relatório compartilhado com The Hacker News.
Outros setores proeminentes incluem sistemas de água e esgoto, instalações comerciais, comunicações, transporte, química, cuidados de saúde, alimentos e agricultura e instalações governamentais.
Algumas das outras descobertas notáveis são as seguintes:
- A Mitsubishi Electric (20,5%), Siemens (18,2%) e Rockwell Automation (15,9%) foram os fornecedores mais impactados no setor de manufatura crítico:
- Hitachi Energy (39,5%), Advantech (10,5%) e Delta Electronics e Rockwell Automation (ambos 7,9%) foram os fornecedores mais impactados no setor de energia
- A Siemens se destacou como a entidade líder na produção dos mais CVEs no primeiro semestre de 2023, contabilizando 41 avisos ICS
Uso após a liberação, leituras fora de limites, validação inadequada de entrada, gravação fora de limites e condição de corrida foram as cinco principais fraquezas de software
Ainda mais, uma maioria dos relatórios de CVE (84,6%) veio de fabricantes de equipamentos originais (OEMs) e fornecedores de segurança nos Estados Unidos, seguidos por China, Israel e Japão.
Pesquisas independentes e acadêmicas representaram 9,4% e 3,9%, respectivamente.
"Vulnerabilidades 'Forever-Day' continuam a ser um problema - seis avisos da CISA foram identificados para produtos de fornecedores de ICS que chegaram ao fim da vida com vulnerabilidades de gravidade 'Crítica' sem atualização, patch, atualizações de hardware/software/firmware ou soluções alternativas conhecidas", apontou a empresa.
A SynSaber, no entanto, observou que confiar apenas nos avisos da CISA ICS pode não ser suficiente e que as organizações precisam monitorar várias fontes de informação para ter uma melhor ideia das falhas que podem ser relevantes para seus ambientes.
"Cuidado deve ser tomado para entender as vulnerabilidades no contexto dos ambientes em que aparecem", disse a empresa.
"Como cada ambiente OT é único e feito para um propósito específico, a probabilidade de exploração e o impacto que ela pode ter variará muito para cada organização".
As descobertas vêm como a Nozomi Networks revelou um "alto volume de indícios de varredura de rede em instalações de tratamento de água, alertas de senhas de texto simples na indústria de materiais de construção, atividade de transferência de programas em máquinas industriais e tentativas de injeção de pacotes de protocolo OT em redes de óleo e gás".
A empresa de segurança cibernética IoT disse que detectou uma média de 813 ataques únicos diariamente contra seus honeypots, com os principais endereços IP dos atacantes provenientes da China, EUA, Coréia do Sul, Taiwan e Índia.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...