A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) divulgou 670 vulnerabilidades que afetam sistemas de controle industrial (ICS) e outros produtos de tecnologia operacional (OT) no primeiro semestre de 2023, de acordo com a empresa de monitoramento de rede e ativos industriais SynSaber.
Análise do SynSaberrealizado em colaboração com o Projeto de Consultoria ICSmostra que a CISA publicou 185 avisos de ICS no primeiro semestre de 2023, abaixo dos 205 no primeiro semestre de 2022. O número de vulnerabilidades cobertas nesses avisos caiu 1,6% no primeiro semestre de 2023 em comparação com o primeiro semestre de 2022.
Mais de 40% das falhas afetam o software e 26% afetam o firmware. Os OEMs continuaram relatando a maioria dessas vulnerabilidades — mais de 50% — seguidos por fornecedores de segurança (28%) e pesquisadores independentes (9%).
Manufatura e energia críticas são os setores de infraestrutura crítica com maior probabilidade de serem afetados pelos CVEs relatados no primeiro semestre de 2023.
Dos CVEs divulgados no primeiro semestre de 2023, 88 foram classificados como ‘críticos’ e 349 foram classificados como ‘alta gravidade’. Mais de 100 falhas exigem acesso local/físico ao sistema de destino e interação do usuário, e 163 exigem algum tipo de interação do usuário, independentemente da disponibilidade da rede.
Trinta e quatro por cento das vulnerabilidades relatadas não têm um patch ou correção disponível do fornecedor, acima dos 13% no primeiro semestre de 2022, mas aproximadamente o mesmo que no segundo semestre de 2022.
O aumento no primeiro semestre de 2023 se deve parcialmente a um comunicado da Siemens que cobre mais de 100 CVEs que afetam o kernel do Linux, para os quais os patches ainda não foram lançados pela gigante industrial. Ademais, muitas das vulnerabilidades que não receberão um patch afetam produtos sem suporte.
O relatório SynSaber também fornece informações que podem ajudar as organizações a priorizar vulnerabilidades com base em vários fatores.
“Cada ambiente OT é único e construído especificamente para uma missão específica”, disse Jori VanAntwerp, cofundador e CEO da SynSaber. “Como resultado, a probabilidade de exploração e impacto varia muito para cada organização. Uma coisa é certa: o número de CVEs relatados provavelmente continuará aumentando ao longo do tempo ou pelo menos permanecerá estável. Esperamos que esta pesquisa ajude os proprietários de ativos a priorizar quando e como mitigar as vulnerabilidades de acordo com seu próprio ambiente.”
: