从2021年下半年到2022年上半年,物联网漏洞披露增长了57%增加了部分修复的固件错误。根据网络物理系统保护公司Claroty今天发布的最新研究,与前六个月相比,2022年上半年(1H)影响物联网设备的漏洞披露将增加57%。XIoT安全状况报告:2022年1月还发现,同一时期供应商的自我披露增加了69%,报告数量首次超过独立研究机构,完全或部分修复的固件漏洞增加了79%,给定这是对修补固件与软件漏洞的相对挑战的重大改进。该报告由Claroty屡获殊荣的研究团队Team82撰写,对影响扩展物联网(XIoT)的漏洞进行了深入研究和分析,这是一个庞大的网络物理系统网络,包括操作技术和工业控制系统(OT/ICS)、医疗物联网(IoMT)、楼宇管理系统和企业物联网。该数据集包含Team82发现的漏洞以及来自可信开源的漏洞,包括国家漏洞数据库(NVD)、工业控制系统网络应急响应小组(ICS-CERT)、CERT@VDE、MITRE和工业自动化厂商施耐德电气和西门子。“经过数十年的物联网连接,网络物理系统正在对我们在现实世界中的体验产生直接影响,从我们吃的食物、我们喝的水、我们乘坐的电梯到我们接受的医疗服务,”说Claroty研究副总裁AmirPreminger。“我们进行这项研究是为了让这些关键领域的决策者全面了解XIoT漏洞情况,使他们能够正确评估、优先考虑和解决支撑公共安全、患者健康、智能电网和公用事业等的关键问题。风险任务系统。”物联网设备的主要发现:15%的漏洞存在于物联网设备中,比Team82上一份涵盖2021年下半年(2H)的报告中的9%有显着增加。此外,物联网和IoMT漏洞的组合首次出现(18.2%)超过了IT漏洞(16.5%)。这表明供应商和研究人员已经提高了他们对保护这些连接设备的理解,因为它们可以充当更深入网络渗透的网关。供应商自我披露:供应商自我披露(29%)首次超过独立研究机构(19%),成为仅次于第三方安全公司(45%)的第二大漏洞报告者。发布的214个CVE几乎是Team822H2021报告中总数127个的两倍。这表明越来越多的OT、IoT和IoMT供应商正在建??立漏洞披露计划,并投入更多资源来检查其产品的安全性和安全性。固件:已发布的固件漏洞几乎与软件漏洞持平(46%对48%),与2021年2H报告相比有了巨大的飞跃,当时软件(62%)和固件(37%)之间的差距几乎为2:1.该报告还显示,完全或部分修补固件漏洞的数量显着增加(2022年1月为40%,高于2021年2月的21%),鉴于更新周期长且维护窗口不频繁,修补固件面临着相对挑战。这表明研究人员越来越有兴趣保护设备中的低级Purdue模型,这些模型与过程本身更直接相关,因此对攻击者更具吸引力。数量和严重程度:平均而言,XIoT漏洞的发布和解决速度为每月125个,到2022年上半年达到747个。绝大多数CVSS评分为严重(19%)或高严重性(46%).影响:近四分之三(71%)对系统和设备可用性有很大影响,这是XIoT设备最适用的影响指标。主要的潜在影响是未经授权的远程代码或命令执行(普遍存在于54%的漏洞中),其次是43%的拒绝服务条件(崩溃、退出或重启)。缓解措施:最重要的缓解措施是网络分段(在45%的漏洞披露中推荐),其次是安全远程访问(38%)和勒索软件、网络钓鱼和垃圾邮件防护(15%)。Team82贡献:Team82继续领导OT漏洞研究,2022年1月披露了44个漏洞,迄今为止披露的漏洞总数为335个。
