ICS/OT漏洞利用态势最新分析
发布日期:2021-08-15
来源:网空闲话
工业网络安全公司Dragos发布了一份针对工业控制系统(ICS)和操作技术(OT)系统漏洞利用态势的白皮书。这个题为《考查ICS/OT漏洞利用:从超过十年的数据中洞察》的报告表示,这些发现可以帮助防御者优先考虑补救和缓解措施。在过去的十年里,Dragos一直在跟踪超过3000多个ICS/OT漏洞,不出所料,此类漏洞的披露呈上升趋势。
概述
报告共有5部分,首先是概要总结;其次是对公开的ICS/OT漏洞利用的定义;第三部分对研究的数据集进行说明;核心的第四部分,首先介绍为什么要对公开的ICS/OT漏洞给予重视,接着是漏洞公开趋势,受影响的厂商,按Purdue模型统计各层漏洞数量(影响的漏洞利用和不受影响的漏洞利用),漏洞利用工具/程序作者的情况,第一个公开发布的漏洞利用的时间,在野利用情况;最后两部分是结论建议。
Dragos目前跟踪了自2010年以来发布的超过3000个cve(常见漏洞和暴露),这些漏洞影响工业控制系统和操作技术(ICS/OT)网络。在这些cve中,超过400个具有公开的漏洞利用程序。
漏洞利用是一种工具,它允许对手绕过软件或硬件中的安全边界。漏洞利用有很多种形式。漏洞利用可以是curl命令、URI、HTTP数据块,甚至是合理的书面描述。Dragos认为,任何允许低技能的对手在知情的情况下迅速绕过安全边界的行为都是一种漏洞利用。
某些漏洞有多个公开的利用程序,这导致Dragos跟踪近600个公开的ICS/OT漏洞利用。公开的漏洞利用大大降低了利用漏洞所需的技能和努力。正如普渡模型所描述的那样,Dragos跟踪的公开漏洞利用程序影响到工业环境的每一个层面,为对手提供了能够通过ICS网络渗透和传播的预打包工具。在ICS网络上恶意使用公开的漏洞利用并不是理论上的。Dragos跟踪多个使用公开漏洞利用的威胁行为组织(AG)。
Dragos跟踪的公开ICS/OT漏洞利用是由数百人开发的。它们影响着一百多个供应商开发的产品,而且它们对工业流程的影响是全方位的。利用这些漏洞的知识,然后使用报告中的指南,将帮助ICS操作人员更好地确定需要修复哪些漏洞。
自2007年至2021年公开的ICS/OT漏洞利用数量统计
2020年披露的漏洞数量低于前两年。然而,比漏洞数量更重要的是确定哪些漏洞对组织构成真正的风险,在评估它们构成的风险时,有几个因素应该考虑进去。
关键的发现
Dragos不仅一直在跟踪漏洞的披露,而且还跟踪相关漏洞的公开可利用性,公开可利用性使得低技能的威胁行为者更容易利用安全漏洞。
该公司指出,在2020年披露的漏洞中,只有8%是公开可利用漏洞。一种可能的解释是,趋势科技的零日倡议(ZDI)获得了许多ICS漏洞,而ZDI可以阻止研究人员公开他们的漏洞概念验证(PoC)。
ZDI收购了许多ICS漏洞,这也可以解释为什么在2020年披露的漏洞更少——ZDI有一个120天的披露政策,这通常是延长的,这使得在2020年发现的漏洞可能只在2021年披露。
Dragos知道有近600个针对110多个供应商产品的公开的ICS漏洞利用。然而,七家主要供应商占据了所有已公布的漏洞利用的40%左右,包括Advantech、罗克韦尔自动化及其艾伦-布拉德利品牌、Moxa、微软、西门子和施耐德电气。微软也在这个列表之中,因为许多ICS/OT系统运行在Windows之上,并且由于Windows漏洞而暴露在攻击之下。
许多公开的ICS漏洞利用瞄准了“现场操作”级别的目标设备,这可以作为进入工业网络的初始接入点。一旦恶意行为者到达工业网络(包括现场、控制和监控设备),他们就可以使用数百种公开可用的漏洞利用程序。
在Purdue模型各层上漏洞利用的数量统计
对于大多数级别的访问,远程代码执行是最有可能的影响,但拒绝服务(DoS)在针对控制设备的攻击中起主导作用。对于这个级别上的控制器和其他设备,DoS漏洞利用可能更容易开发,与远程代码执行相比,它在现实世界环境中可能有更大的影响。
Dragos指出,某些类型的漏洞不太可能被用于真正的攻击。例如,针对可编程逻辑控制器(PLC)的跨站请求伪造(CSRF)和跨站脚本(XSS)漏洞利用。
例如,针对PLC的[CSRF]不太可能在野外使用,因为它要求受害者登录到PLC的web界面,并导航到一个恶意网站(或点击一个恶意链接)。它还要求攻击者能够制作指向受害者PLC的url。这是不太可能发生的情况,“报告中解释道。
至于是谁公开了这些漏洞利用,Dragos发现,在近一半的情况下,漏洞利用程序的作者隶属于一家公司或大学。占到一半以上的三家公司是Rapid7(通过Metasploit项目)、思科的Talos研究和情报部门以及Tenable公司。
大约有三分之一的漏洞利用在第三方的建议中可用,其次是Metasploit, exploit - db漏洞数据库,个人GitHub或Bitbucket存储库,以及各种其他来源,如Twitter,白皮书,bug trackers, Full Disclosure, and Packet Storm。
在许多情况下,研究人员在公开他们发现的漏洞以帮助其他人更好地理解他们的工作时,就会释放漏洞的PoC。如果这些漏洞利用没有被考虑在内,Dragos确定漏洞被披露后,漏洞利用被公开的平均时间是24天。
”ICS/OT网络防御者可以合理地预期,平均而言,如果某个CVE出现公开的漏洞利用,那么它是在该漏洞首次披露后的30天内发布,“Dragos说。
网络安全公司跟踪的ICS漏洞利用中,大约有10%被恶意攻击者利用,而针对企业和站点运营水平的比例最高。针对站点操作的攻击对攻击者来说是有利可图的,因为他们可以通过使用合法的功能来控制较低级别的设备,例如监视和控制设备,而不需要利用漏洞。
在Purdue模型各层上ICS/OT相关CVE被主动利用的统计(2010-2021年)
建议
有关ICS/OT公开的漏洞利用世界在过去十年一直很活跃,并将继续如此。许多个人和组织正在积极开发这些影响ICS/OT的漏洞利用,其中有一小部分是在野外被使用的。然而,发布的ICS/OT漏洞利用如此之多,以至于每隔几个月左右,就会有一个漏洞利用被威胁行为者采用并在野外使用,这是合理的。因此,必须跟踪公开的漏洞利用,以帮助确定应该纠正或缓解哪些漏洞。
Dragos对寻求优先补救ICS漏洞的防守者提出了四个主要建议。
首先,他们应该考虑到漏洞利用通常会在30天内被公开,那些没有在30天内得到攻击的人可能有较低的优先级。
第二,漏洞的来源也很重要,因为研究人员披露的安全漏洞更有可能有该利用的PoC。
第三个建议,与漏洞利用的潜在影响有关——如果它只影响OT网络,并且需要用户交互或中间人的位置,那么它可以不被优先考虑。
最后,在监视和控制级别上影响设备的漏洞不应该被完全忽视,因为组织通常在这些级别上没有很好的可视性,无法知道这类漏洞利用是否被用于恶意攻击。
