حدود ۲۰ درصد از سیستمهای کنترل صنعتی نسبت به نقصهای بحرانی آسیبپذیرند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بیش از نیمی از ۴۱۵ آسیبپذیری کشف شده در سیستمهای کنترل صنعتی (ICS)، دارای نمرات CVSS بیش از ۷ هستند که نشان دهنده سطح خطر بالا یا بحرانی آنهاست. همچنین ۲۰ درصد از دستگاههای ICS آسیبپذیر تحت تاثیر نقصهای بحرانی هستند.
طبق گزارش منتشر شده توسط کسپرسکی درباره تهدیدات سیستمهای اتوماسیون صنعتی در نیمه دوم سال ۲۰۱۸، بیشترین تعداد آسیبپذیریها، سیستمهای کنترل صنعتی را تحت تاثیر قرار میدهند که فرایندهای تولید در سازمانهای مختلف در بخش انرژي و بخش تامین منابع آب را کنترل میکنند. همچنین سیستمهای کنترل صنعتی که در حوزه کشاورزی و صنایع شیمیایی استفاده میشوند نیز آسیبپذیر هستند.
بردارهای تهدید اصلی این سیستمها اینترنت (۲۶,۱ درصد)، رسانههای قابل حمل (۸.۳ درصد) و ایمیل (۴.۹ درصد) هستند. فیشینگ بیشترین بردار حمله در این سیستمها بودهاست و تروجانها در ۲۷.۱ درصد دستگاههای ICS آلوده به بدافزار مشاهده شدهاند.
در نمودار زیر تعداد دستگاههای آسیبپذیر در صنایع مختلف نمایش داده شدهاست:
محصولاتی که بیشترین نمره CVSS یعنی ۱۰ را دریافت کردهاند، موارد زیر هستند که دارای نقصهای سرریز بافر یا احرازهویت هستند:
• Siemens TIM ۱۵۳۱ IRC Modules
• Siemens SINUMERIK Controllers
• Circontrol CirCarLife
• NUUO NVRmini۲ and NVRsolo
• Emerson AMS Device Manager
• Rockwell Automation RSLinx Classic
• Schneider Electric U.motion Builder
• Martem TELEM-GW۶/GWM
کسپرسکی در سال گذشته ۶۱ نقص امنیتی را در دستگاههای ICS و IoT/IIoT کشف کرد که تنها برای ۲۹ مورد آنها وصله ارائه شد. ۴۶ درصد این آسیبپذیریها، منجر به اجرای کد راه دور، دسترسی غیرمجاز و حملات انکار سرویس (DoS) میشوند.
بیشتر آسیبپذیریهای دستگاههای ICS (۳۴۲ مورد) بدون احراز هویت و از طریق دسترسی راه دور قابل بهرهبرداری هستند. در نمودار زیر فراوانی نوع آسیبپذیریها ارائه شدهاست:
بیشترین آسیبپذیریها در نرمافزارهای مهندسی (۱۴۳ مورد)، مولفههای SCADA/HMI (۸۱ مورد)، دستگاههای شبکه طراحی شده برای محیطهای صنعتی (۶۶ مورد) و PLCها (۴۷ مورد) هستند: