670 vulnerabilità dell'ICS rivelate dalla CISA nella prima metà del 2023: analisi
CISA ha rivelato 670 vulnerabilità ICS nella prima metà del 2023, ma circa un terzo non dispone di patch o soluzioni di mitigazione da parte del fornitore.
Di
Secondo la società di monitoraggio di risorse industriali e reti SynSaber, nella prima metà del 2023, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha rivelato 670 vulnerabilità che interessano i sistemi di controllo industriale (ICS) e altri prodotti di tecnologia operativa (OT).
L'analisi di SynSaber, condotta in collaborazione con ICS Advisory Project, mostra che CISA ha pubblicato 185 avvisi ICS nella prima metà del 2023, in calo rispetto ai 205 della prima metà del 2022. Il numero di vulnerabilità coperte da questi avvisi è diminuito dell'1,6% nel primo semestre 2023 rispetto al primo semestre 2022.
Oltre il 40% dei difetti ha ripercussioni sul software e il 26% sul firmware. Gli OEM hanno continuato a segnalare la maggior parte di queste vulnerabilità – oltre il 50% – seguiti dai fornitori di sicurezza (28%) e dai ricercatori indipendenti (9%).
L’industria manifatturiera e l’energia sono i settori delle infrastrutture critiche che più probabilmente subiranno l’impatto dei CVE riportati nella prima metà del 2023.
Dei CVE divulgati nel primo semestre del 2023, 88 sono stati classificati "critici" e 349 sono stati classificati "di gravità elevata". Più di 100 difetti richiedono sia l’accesso locale/fisico al sistema preso di mira che l’interazione dell’utente, e 163 richiedono un qualche tipo di interazione da parte dell’utente, indipendentemente dalla disponibilità della rete.
Per il 34% delle vulnerabilità segnalate non è disponibile una patch o una soluzione da parte del fornitore, rispetto al 13% nella prima metà del 2022, ma più o meno lo stesso della seconda metà del 2022.
L’aumento nel primo semestre del 2023 è in parte dovuto a un advisory di Siemens che copre oltre 100 CVE che interessano il kernel Linux, per il quale le patch devono ancora essere rilasciate dal colosso industriale. Inoltre, molte delle vulnerabilità che non riceveranno una patch incidono su prodotti non supportati.
Il rapporto SynSaber fornisce inoltre informazioni che possono aiutare le organizzazioni a dare priorità alle vulnerabilità in base a vari fattori.
“Ogni ambiente OT è unico e creato appositamente per una missione specifica”, ha affermato Jori VanAntwerp, cofondatore e CEO di SynSaber. “Di conseguenza, la probabilità di sfruttamento e di impatto varierà notevolmente per ciascuna organizzazione. Una cosa è certa: il numero di CVE segnalati è destinato a continuare ad aumentare nel tempo o quanto meno a restare stabile. La nostra speranza è che questa ricerca aiuti i proprietari di asset a stabilire le priorità su quando e come mitigare le vulnerabilità in conformità con il proprio ambiente”.
Imparentato: Conteggio delle vulnerabilità ICS: esame delle variazioni nei numeri segnalati dalle società di sicurezza
Imparentato: Siemens guida l’aumento delle vulnerabilità ICS scoperte nel 2022: rapporto
Eduard Kovacs (@EduardKovacs) è caporedattore di SecurityWeek. Ha lavorato come insegnante di informatica al liceo per due anni prima di iniziare una carriera nel giornalismo come reporter di notizie sulla sicurezza di Softpedia. Eduard ha conseguito una laurea in informatica industriale e un master in tecniche informatiche applicate all'ingegneria elettrica.
Iscriviti al briefing via e-mail di SecurityWeek per rimanere informato sulle ultime minacce, tendenze e tecnologie, insieme a colonne approfondite di esperti del settore.
Unisciti agli esperti di sicurezza mentre discutono del potenziale non sfruttato di ZTNA sia per ridurre il rischio informatico che per potenziare l'azienda.
Unisciti a Microsoft e Finite State per un webinar che introdurrà una nuova strategia per proteggere la catena di fornitura del software.
Pensare al buono, al brutto e al cattivo ora è un processo che ci offre "un focus negativo per sopravvivere, ma uno positivo per prosperare." (Marc Solomon)
La condivisione delle informazioni sulle minacce e la collaborazione con altri gruppi di intelligence sulle minacce aiuta a rafforzare la tutela dei clienti e aumenta l'efficacia del settore della sicurezza informatica nel suo complesso.(Derek Manky)