Neue Forschungsergebnisse des ICS/OT-Cybersicherheitsunternehmens SynSaber haben über 900 CVEs analysiert, die in industriellen Steuerungssystemen in den USA gemeldet wurden zweiten Hälfte des Jahres 2022 und stellt fest, dass für 35 % kein Patch oder keine Behebung verfügbar ist.
Nur 56 % der CVEs wurden vom Originalgerätehersteller (OEM) gemeldet, während 43 % von Sicherheitsanbietern eingereicht wurden und unabhängige Forscher. Ein Firmware-Update ist erforderlich, um 33 Prozent zu beheben.
Die Untersuchung ergab, dass 28 Prozent der CVEs einen lokalen oder physischen Zugriff auf das System benötigen, um sie auszunutzen (gegenüber 23 Prozent in der ersten Hälfte des Jahres).. 104 der 926 betrachteten (11,23 Prozent) erfordern sowohl eine lokale/physische als auch eine Benutzerinteraktion, damit die Schwachstelle erfolgreich ausgenutzt werden kann. 230 (24,84 Prozent) benötigen eine Benutzerinteraktion unabhängig von der Netzwerkverfügbarkeit.
Der Bericht weist darauf hin, dass es wichtig ist, ein Bewusstsein für Schwachstellen in ICS zu haben, aber auch zu verstehen, was getan werden kann und was nicht, um sie zu beheben.
Die Schlussfolgerung des Autors des Berichts:
Das Volumen der CVEs, die über CISA ICS Advisories und andere Stellen gemeldet werden, wird wahrscheinlich nicht abnehmen. Für Asset-Eigentümer und diejenigen, die kritische Infrastrukturen verteidigen, ist es wichtig zu verstehen, wann Abhilfemaßnahmen verfügbar sind und wie diese Abhilfemaßnahmen implementiert und priorisiert werden sollten.
Der bloße Blick auf die schiere Menge an gemeldeten CVEs kann dazu führen, dass sich Asset-Eigentümer überfordert fühlen , aber die Zahlen scheinen weniger beängstigend, wenn wir verstehen, welcher Prozentsatz der CVEs relevant und umsetzbar ist, im Vergleich zu denen, die zumindest vorerst „ewige Schwachstellen“ bleiben werden.
Die vollständiger Bericht ist auf der SynSaber-Website verfügbar.
Bildnachweis: Scharfsinn/depositphotos.com