IoT 漏洞揭露從 2H 2021 到 1H 2022 成長了 57%

XIoT 資安狀況報告： Claroty 的 Team82 版 1H 2022 揭露了 IoT 漏洞、廠商自我揭露以及完全或部分矯正的韌體漏洞。

紐約 – 2022年8月24日 根據 網路實體系統保護公司 Claroty 今天發表的新研究指出，2022 年上半年 （1H），影響物聯網裝置的漏洞揭露較前六個月增加了 57%。 XIoT 資安狀況報告： 1H 2022 也發現，廠商自我揭露率在同一時期當中成長了 69%，比起獨立研究首次出現的通報者，比例更高，而且完全或部分修正的韌體漏洞也增加了 79%，由於修補韌體與軟體漏洞的相對挑戰，明顯有所改善。

該報告由 Claroty 獲獎的研究團隊 Team82 所編撰，是對影響擴展物聯網 （XIoT） 的漏洞的深入檢查和分析，這是一個龐大的網路實體系統網路，包括營運技術和工業控制系統 （OT/ICS）、醫療物聯網 （IoMT）、建築管理系統和企業物聯網。 該資料集包含 Team82 所發現的漏洞，以及來自受信任的開放來源的漏洞，包括 National Vulnerability Database （NVD）、Industrial Control Systems Cyber Emergency Response Team （ICS-CERT）、CERT@VDE、MITRE，以及 Schneider Electric 和 Siemens 等工業自動化廠商。

Claroty 研究副總裁 Amir Preminger 表示： “我們進行了這項研究，讓這些關鍵產業的決策者能完整瞭解 XIoT 弱點形勢，使他們能夠正確評估、排定優先順序，並解決關鍵任務系統的風險，以支持公共安全、病患健康、智慧電網和公用事業等。”

關鍵發現

• IoT 裝置： 15% 的漏洞都出現在 IoT 裝置當中，比 Team82’s 份涵蓋 2021 年下半年 （2H） 的報告中的 9% 大幅成長。 此外，IoT 與 IoMT 漏洞 （18.2%） 的組合首次超越 IT 漏洞 （16.5%）。 這表示，對於保護這些連網裝置的廠商和研究人員有更深入的瞭解，因為這些連網裝置是更深入網路滲透的閘道。

• 廠商自我揭露： 在第三方安全公司 （45%） 之後，廠商自我揭露 （29%） 首次超越獨立研究裝備 （19%），成為第二多產的漏洞通報者。 214 起已發表的 CVE 數量幾乎是 Team82’s 2H 2021 報告總數的兩倍，為 127。 這表示越來越多的 OT、IoT 和 IoMT 供應商正在建立漏洞揭露計畫，並投入更多資源來檢查其產品的安全性。

• 韌體： 發佈的韌體漏洞幾乎與軟體漏洞相符（分別為 46% 和 48%），在軟體 （62%） 和韌體 （37%） 2:1 之間差不多時，與 2H 2021 報告相比，大幅成長。 該報告還顯示，完全或部分修復的韌體漏洞顯著增加 （ 1H 2022 為 40%， 2H 2021 為 21%），由於更新週期較長和維護時間不頻繁，因此修補韌體的相對挑戰相當顯著。 這表示研究人員對保護較低層級的 Purdue Model 裝置越來越感興趣，這些裝置更直接與流程本身相連，因此成為攻擊者更具吸引力的目標。

• 數量與關鍵性： XIoT 漏洞平均每個月出現 125 個，在 1H 2022 年總共出現 747 個。 絕大多數的 CVSS 分數為關鍵 （19%） 或高嚴重性 （46%）。

• 影響： 將近四分之三 （71%） 對系統和裝置的可用性有很大的影響，這是最適用於 XIoT 裝置的衝擊指標。 主要的潛在影響是未經授權的遠端代碼或命令執行（普遍在 54% 的弱點中），其次是拒絕服務條件（崩潰、退出或重新啟動），其為 43%。

• 緩解措施： 最大的緩解步驟是網路區隔（ 45% 的漏洞揭露建議），其次是安全的遠端存取（38%）和勒索軟體、網路釣魚和垃圾郵件保護（15%）。

• Team82 個貢獻： Team82 個持續引領 OT 漏洞研究，在 1H 2022 個漏洞中揭露了 44 個漏洞，至今總共揭露了 335 個漏洞。

要存取 Team82’s 套完整的發現、深入分析以及因應漏洞趨勢的建議安全措施，請下載 XIoT 現況安全報告： 1H 2022。

Team82 Slack 管道 也可用於對報告進行額外的討論和見解。

確認
本報告的主要作者是 Claroty 的安全研究員 Bar Ofner 和資料科學家 Chen Fradkin。 貢獻者包括：威脅與風險組長 Rotem Mesika、創新總監 Nadav Erez、研究總監 Sharon Brizinov 以及研究副總裁 Amir Preminger。 特別感謝 Team82 全體員工為本報告的各個方面以及推動本報告的研究工作提供卓越的支援。

關於 Claroty
Claroty Claroty讓組織能夠保護其延伸物聯網 （XIoT），這是橫跨工業、醫療保健和商業環境的龐大網路實體系統網路。 公司的網路實體系統保護平台整合了客戶現有的基礎架構，為可視性、風險和弱點管理、網路分割、威脅偵測和安全遠端存取提供全方位的控制。 Claroty 在全球最大的投資公司和工業自動化供應商的支援下，由全球數以百計的組織部署在數千個地點。 公司總部設於紐約市，在歐洲、亞太地區和拉丁美洲均有業務。