Dragos报告：2018年大量工控漏洞存在评级错误

根据工控网络安全公司Dragos发布的年度审查报告，2018年发布的面向工控系统的漏洞通报中，约三分之一存在基本事实性错误，包括对漏洞等级的描述和评估等。

去年，Dragos公司跟踪了204份描述工控领域的漏洞，及影响过程控制网络（包括VPN和防火墙）安全产品的IT产品缺陷的报告。平均每月17份，涵盖了443个漏洞。相比之下，该公司2017年共追踪了163份报告，平均每月14份。

在其追踪的所有报告中，Dragos公司发现32%有错误，特别是在CVSS评分方面。专家们普遍认为，CVSS评分可能会误导ICS漏洞。尤其是当CVSS评分不当的时候，则问题更甚。

“大量存在的不准确的报告的确是个风险”。许多组织会根据这个公开报告数据来决定风险处置标准或采取措施满足合规性要求。Dragos在其报告中表示，不准确的报告会导致大量的无用功，且那些依靠报告来确定补丁优先级或补救措施的机构则不能达到降低风险的目标。

该公司指出，通过第三方报告的漏洞通常更有可能产生不正确CVSS分数。当供应商自己发现漏洞并发布报告时，CVSS评分不正确的可能性则较小，大约只有18%。

研究人员直接与供应商合作报告他们的调查结果，则错误率是24%，远好过与第三方合作（如ICS-CERT）。Dragos还注意到，通过未知第三方机构发布的报告中，有56%存在CVSS评分不准确。

Dragos还指出，许多工控漏洞通报还忽视了漏洞对工业企业影响，也未能指明漏洞被利用的可能性大小，这也使得各机构在决定是否立即采取行动时更加困难。

该报告还显示，只有10%的漏洞通报聚焦外围系统漏洞，这些漏洞可能被攻击者利用并渗透控制系统内部网络。另一方面，这其中72%的通报涵盖了HMIs，工程师站，现场设备和工业网络组件中的漏洞。

Dragos认为，研究人员应该更多地关注给攻击者以可乘之机以访问关键系统的产品，例如VPN，防火墙，数据历史记录，OPC服务器及其他远程访问系统等。它强调，已经可以访问HMI、现场设备和工程工作站的攻击者无需利用任何漏洞，就可以实现他们的目标。

当用户无法控制系统，或系统不再向用户显示数据、错误数据及失控状态时，攻击者再利用ICS相关的漏洞反而可能导致视图丢失（loss of view）。

去年披露的一半以上的漏洞都会导致失控或视图丢失（loss of view）。然而，还有38%的漏洞通报描述描述的是其他方面的影响。

“导致视图和控制丢失的漏洞发生在影响现场设备（PLCs,RTU等）的传统控制网络的核心以及人机界面（HMI）系统和工程工作站软件（EWS）等管理设备中”。这意味着超过一半（60%）与ICS相关的漏洞可能导致运营中断，至少对于受咨询报告影响的组件而言。”Dragos解释说。

除了其ICS漏洞报告外，Dragos周四还发布了另外两份报告，描述了威胁群体和环境，以及从漏洞搜索和事件响应中吸取的经验教训。

文章来源：SecurityWeek

作者： Eduard Kovacs

翻译：何跃鹰 孙中豪

声明：本文来自工业互联网安全应急响应中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。