Une nouvelle étude, de la société de cybersécurité ICS/OT SynSaber, a analysé plus de 900 CVE signalés dans les systèmes de contrôle industriels du deuxième moitié de 2022 et constate que 35 % n’ont pas de correctif ou de correction disponibles.
Seuls 56 % des CVE ont été signalés par le fabricant d’équipement d’origine (OEM), tandis que 43 % ont été soumis par des fournisseurs de sécurité et chercheurs indépendants. Une mise à jour du micrologiciel est nécessaire pour corriger 33 %.
La recherche révèle que 28 % des CVE nécessitent un accès local ou physique au système pour pouvoir être exploités (contre 23 % au cours du premier semestre de l’année).. 104 des 926 examinés (11,23 %) nécessitent une interaction à la fois locale/physique et utilisateur pour que la vulnérabilité soit exploitée avec succès. 230 (24,84 %) ont besoin d’une interaction utilisateur, quelle que soit la disponibilité du réseau.
Le rapport souligne que s’il est important d’avoir conscience des vulnérabilités des ICS, il est essentiel de comprendre ce qui peut et ne peut pas être fait pour y remédier.
Conclusion de l’auteur du rapport :
Le volume de CVE signalés via les avis CISA ICS et d’autres entités ne devrait pas diminuer. Il est important pour les propriétaires d’actifs et ceux qui défendent les infrastructures critiques de comprendre quand des mesures correctives sont disponibles, et comment ces mesures correctives doivent être mises en œuvre et hiérarchisées.
Le simple fait de regarder le volume considérable de CVE signalés peut amener les propriétaires d’actifs à se sentir dépassés , mais les chiffres semblent moins décourageants lorsque nous comprenons quel pourcentage de CVE sont pertinents et exploitables, par rapport à ceux qui resteront des « vulnérabilités permanentes », du moins pour le moment.
Le le rapport complet est disponible sur le site de SynSaber.
Crédit image : Scharfsinn/depositphotos.com