Over 600 ICS Vulnerabilities Disclosed in First Half of 2021: Report
2021/08/19 SecurityWeek — 2021年の上半期において、ベンダー 76社の製品に影響をおよぼす、637件の ICS (Industrial Control System) 脆弱性が明らかになり、そのうち 70%以上が Critical または High の評価を受けている。それに対して、2020年下半期に公開された脆弱性は、449件に過ぎなかった。Claroty の分析によると、2021年上半期に開示されたセキュリティ・ホールにおいて、大部分は特別な条件を必要とせず、4分の3は特権を必要とせず、3分の2はユーザー操作を必要せずに悪用できるという。また、脆弱性の 61% はリモートで悪用でき、65% はサービス妨害 (DoS) 攻撃に利用できるとしており、IT システムに比べて大きな影響を与える可能性があるとしている。
脆弱性の 80% 以上は、外部の研究者がベンダーに報告したものである。2021年上半期に開示された欠陥を報告した研究者のうち、42人が新規の研究者であった。影響を受けたベンダーの上位は、Siemens (146) / Schneider Electric (65) / Rockwell Automation (35) / WAGO (23) / Advantech (22) となっている。なお、このリストで注目に値するのは、昨年においてセキュリティ・ホールの影響を受けていない企業が、新たに 20社も含まれている点である。今回のセキュリティホールの大半は、運用管理レベルの製品 (Historian / OPC Server)に影響を与えており、それに続くのが、基本制御レベル (PLC / RTU) の製品と、監視制御レベル(HMI / SCADA) の製品になっている。
Claroty の VP of Research である Amir Preminger は、「多くの企業が産業プロセスをクラウドに接続して近代化する一方で、ランサムウェア攻撃や恐喝攻撃を用いる脅威アクターたちに、産業オペレーションを危険にさらす手段を与えている。最近における、Colonial Pipeline や、JBS Foods、Oldmsar フロリダ水道局へのサイバー攻撃は、インターネットに公開されている重要インフラや製造環境の脆弱性を示すだけでなく、より多くのセキュリティ研究者に対して、ICS に特化した取り組みを促すことになった」と述べている。
詳細な情報および、緩和策や改善策に関する情報については、Claroty の ICS Risk & Vulnerability Report for H1 2021 に掲載されている。2020年の ICS Risk & Vulnerability Report では、2020年には 893件の脆弱性が開示され、前年に比べて大幅に増加したことが明らかにされている。2021年には、すでに 600件以上の脆弱性が開示されたことを考えると、年末には 1,000件を超える可能性があるという。
実験的な視点もありますが、お隣の脆弱性キュレーション・チームでは、IoT/OT 系の脆弱性を年初から拾い始めています。正確にカウントしていませんが、1月〜6月で 800件くらいの情報を拾っているはずです。このレポートと同様に、件数が多いのは Siemens / Schneider Electric / Rockwell Automation / WAGO / Advantech などであり、その他のメジャー・ベンダーとしては、GE / Bosch / Honeywell / Johnson Controls / Mitsubishi Electric / Moxa / Philips などがありました。IoT SF : Consumer IoT : Vulnerability Disclosure Expanding The View Into 2021 にも、このあたりの情報が徐々に増えていると記されています。
IoT OT Security News 