聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士

工业网络安全公司 Dragos 发布了针对工控和运营技术系统漏洞的分析表示，这些研究成果有助于防御人员对漏洞修复和缓解促使进行优先级排序。

十年来，Dragos 公司一直都在追踪3000多个 ICS 和OT 漏洞，结果不出意料地发现这些缺陷的数量不断增多。

2020年漏洞总量减少

2020年，这些漏洞的数量少于前两年的数量。然而，比漏洞数量更重要的事情在于确定其中哪些漏洞对组织机构带来真正风险，因此在评估风险时需要考虑多种因素。Dragos 公司不仅追踪了漏洞的披露，而且还追踪了相关 exploit 的可用性，后者使得技能较低的威胁行动者实际上也能利用安全漏洞。

Dragos 公司注意到，在2020年披露的漏洞中，仅有8%拥有公开的 exploit。一种可能的解释是趋势科技ZDI已经收购了很多工控漏洞，而且禁止研究员公开 PoC 利用。而ZDI 购买工控缺陷的行为也解释了为何2020年披露的漏洞很少：ZDI 的漏洞披露期限是120天，而且还常常延期，使得2020年找到的漏洞只能在2021年发布。

7家厂商占据近半壁江山

Dragos 发现了针对110多家厂商产品的近600个公开的工控 exploit。然而，七家主流厂商仅占约40%的所有已公开 exploit，包括 Advantech、Rockwell Automation 及其 Allen-Bradley 品牌、Moxa、微软、西门子和施耐德电气。微软也在其中的原因是很多ICS/OT系统运行在 Windows 系统上且由于 Windows 漏洞的存在而被暴露到攻击中。

很多公开的 ICS 利用针对“站点操作“层面的设备，可成为进入工业网络的初始访问点。一旦恶意人员触达工业网络，就手握数百个公开 exploit 可以处置。

对于多数访问级别而言，远程代码执行是最容易造成的影响，但拒绝服务在针对控制设备 exploit 方面领先。对于这种级别的控制器和其它设备而言，拒绝服务 exploit 更易于开发且和远程代码执行影响而言，它对真实环境产生的影响更大。

Dragos 公司注意到某些 exploit 类型不可能用于真实攻击中。例如，针对可编程逻辑控制器（PLCs）的跨站点脚本伪造和跨站点脚本 exploit。报告指出，“例如，针对PLC的 CSRF 不可能在野利用，因为它要求受害者登录到 PLC 的web 接口并导航至恶意站点（或点击恶意链接），而且要求攻击者构造能够解决受害者 PLC 的URL。而这是不可能存在的场景。”

公开漏洞的人员身份

至于公开了这些 exploit 的人员身份问题，Dragos 公司发现近一半的exploit 作者就职于企业或高校。其中三家单位公开的 exploit 数量超过一半，它们是 Rapid7 公司（Metasploit 项目）、思科 Talos 研究和情报团队以及 Tenable 公司。

近三分之一的 exploit 披露自第三方安全公告，其次是 Metasploit、Exploit-DB exploit 数据库、GitHub 或 Bitbucket 的个人库以及其它各种来源如推特、白皮书、bug追踪工具、Full Disclosure 和 Packet Storm。

在很多种情况下，研究人员披露 PoC exploit 是为了帮助其他人了解自己的研究成果。如果排除这类 exploit，则Dragos 公司认为漏洞披露后，exploit 被公开的中位数用时是24天。该公司表示，“ICS/OT 网络防御人员可以认为，平均而言，CVE漏洞首次公开30天后就会出现相关exploit。”

10%的漏洞被恶意攻击

在 Dragos 追踪的约10%的 ICS exploit 中，约10%已被恶意攻击，是针对企业和站点操作级别的最高攻击比例。攻击站点操作对于攻击者而言是有利可图的，因为他们可借此利用合法的功能而无需利用漏洞就能控制更低级别的设备如管理和控制设备。

四个建议

Dragos 公司提出四个建议，供防御人员对 ICS 漏洞修复进行优先级排序。首先，他们应考虑到 exploit 一般会在漏洞披露的30天后被公开，而那些在30天窗口期内未得到 exploit 的漏洞则修复优先级不高。

漏洞的来源也比较重要，因为研究人员披露的安全缺陷更可能拥有 PoC exploit。

另外一个建议和 exploit 的潜在影响有关。如果它仅影响OT网络且要求用户交互或中间人为止，则可降低修复优先级。

最后，影响管理和控制级别设备的漏洞不应完全忽略，因为组织机构经常对这些级别不具备良好的可见性，从而无法了解这些 exploit 是否已被利用于恶意攻击中。

推荐阅读

CISA 发布关于 Treck TCP/IP 栈中新漏洞的 ICS 安全公告

很多 ICS 漏洞安全通报被指包含基本的事实错误

很多工控产品都在用的 CODESYS 软件中被曝10个严重漏洞

我从1组工控系统蜜罐中捞了4个 0day exploits

MITRE 发布工控系统的 ATT&CK 框架

原文链接

https://www.securityweek.com/analysis-ics-exploits-can-help-defenders-prioritize-vulnerability-remediation

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~