Hundreds of ICS Vulnerabilities Disclosed in First Half of 2022
2022/07/21 SecurityWeek — 2022年上半期に、米国の CISA (Cybersecurity and Infrastructure Security Agency) が 開示した ICS (industrial control system) 製品の脆弱性が 600件以上にのぼることが、産業用資産・ネットワーク監視企業の SynSaber の分析により判明した。SynSaber は、CISA が開示した脆弱性を 681件とカウントしており、これは 2021年上半期の 637 件を若干上回る。しかし、すべての公表された ICS の脆弱性に対して、CISA がアドバイザリーを発行しているわけではない。そのため、1月〜6月に公開された問題の実数は、より多くなる可能性があると見られている。
681件の CVE のうち、約 13%は、”forever-day vulnerabilities” と呼ばれる脆弱性で、パッチ未適用かつ、今後も修正されない可能性があるとされる。
しかし、SynSaber が、「複雑な相互運用性と保証の制約」と表現しているように、脆弱性にパッチがあったとしても、適用が容易でない場合もある。したがって、ユーザー企業は、影響を受ける OEM ベンダーからの、パッチ適用の許可を待たざるを得ない場合もあり、何らかの措置を講じる前に運用上のリスクを判断する必要が生じる。
CISA が2022年上半期に公開した脆弱性のうち、22%以上が Critical、42%が High Severity と評価を受けている。
しかし、ICS の場合は、専門家たちが頻繁に指摘しているように、CVSS スコアは誤解を招く可能性がある。SynSaber によるユーザー組織に対する助言は、ある脆弱性が自社環境において現実的に悪用可能かどうかを判断するために、特定の指標を見るように促すものである。たとえば、脆弱性を悪用するためにユーザーとのインタラクション/ローカルや物理的なアクセス/対象となるシステムでの権限昇格などが必要な場合は、悪用される可能性は低くなる。
今回のケースでは、46件の脆弱性の悪用にはアクセス/ユーザー操作の両方が必要であり、198件にはユーザー操作のみが必要になるということが判明している。
ICS の 681件の脆弱性のうち、半数以上はパッチを必要としており、ファームウェアのアップデートが必要なものは 34%、プロトコルのアップデートが必要なものは 12%だった。
SynSaber の評価では、約 40%の脆弱性は直ちに対処すべきでものあり、8%の脆弱性は容易に対処できず、悪用を防ぐための代償措置の必要性が高いことが示唆されている。
SynSaber のレポートには、「報告された CVE の膨大な数を見ると、圧倒されてしまうかもしれないが、適切で対処可能な CVE と、少なくとも当分の間は “forever-day vulnerabilities“ を継続する CVE が何%あるかを理解すれば、この数字はそれほど困難なものではない」と記されている。
ベンダーが修正に着手しない脆弱性には、”forever-day vulnerabilities” という呼び名があるのだと、初めて知りました。この記事の元データとなっている、SynSaber の ICS : Vulnerabilities Analysis First Half of 2022 は、メアドなどの入力が不要であり、簡単にダウンロードできますので、ぜひ、ご参照ください。チャートを多用する構成になっていますので、とても見やすいです。
IoT OT Security News 
You must be logged in to post a comment.