精品项目
Our Projects
新的审计发现供应商意识到近60个OT漏洞
Our Projects
新的审计发现供应商意识到近60个OT漏洞
设计不安全性指的是那些由于设计选择而非编码错误引发的安全漏洞。例如,使用过时的加密协议或未对命令进行身份验证。这些漏洞本质上是产品的一个特征。
与因错误引发的漏洞不同,这些设计不安全性的问题往往是供应商已知的,但他们并未直接警告用户,也没有发布 CVE,Vedere的安全研究负责人Daniel Dos Santos对SC媒体表示。
“对于未认证的协议,情况总是如此。他们会说,‘是的,我们知道这没有经过认证。这不是我们设计的方式,’”他说。工业控制产品通常设计用于使用几十年,许多产品在设计时安全问题往往被忽视,直到现在才在临时、不连贯的基础上逐步修复。
Vedere Labs表示,还有一家因四个漏洞而受影响的供应商尚未透露,因为他们仍在披露过程中。使用这些产品的企业应查看报告以获取更多详细信息。漏洞范围从不良加密到硬编码凭证不一而足。
蚂蚁海外加速器Dos Santos指出,报告的主要结论在于,虽然在过去十年中,围绕OT设备的安全产品市场已经成熟,但在提升OT系统的安全意识和认证方面,仍遗留了相当数量的设计不安全问题,而这些问题已为供应商所知,但客户却不知情。
Claroty的研究副总裁Amir Preminger对此观点表示赞同。“供应商意识到其协议存在安全问题是有道理的。已知大多数OT协议缺乏基本的安全功能,容易被攻击者利用,从而造成损害,”他在通过电子邮件表示。
“尽管如此,”他补充道,“一些供应商正在转向开发更安全、改进的协议,并开始对自己的产品进行内部安全审查,这也产生了供应商内部安全审查团队报告的CVE。”
Vedere报告称为“Project Icefall”,该项目几乎在“Project Basecamp”进行11年后发布,后者是一项影响深远的ICS产品审计,揭示了设计不安全的问题。该项目以Khumbu冰瀑命名,这是一种冰的瀑布,登山者在离开基地营后第一个遇到的重要特征。
根据报告,绝大多数经过审计的设备被列为符合安全标准的认证产品。
“我们需要意识到这些问题。供应商不能就这样轻描淡写,告诉我们‘忘掉它,我们不谈这个,’对吗?”Dos Santos表示。“我们需要为这些问题拥有CVE。我们需要CISA警报。” 了解更多。
