工业控制系统漏洞报告
关键要点
工业控制系统ICS漏洞报告数量有所下降,但未修复漏洞比例上升。高严重性漏洞主要影响制造和能源行业。三菱电机和日立能源在漏洞发现中占据主要地位。使用后释放漏洞和边界外读取漏洞是最常见的报告类型。尽管根据黑客新闻的报道,网络安全和基础设施安全局CISA报告的工业控制系统ICS漏洞数量从2022年上半年681个下降至2023年上半年的670个,但同期未修复的ICS漏洞比例却从13上升至大约34。在2023年前六个月报告的绝大多数ICS漏洞都具有高严重性评级,其中制造和能源行业受到的影响尤为严重,这一点在SynSaber的报告中得到了证实。
根据该报告,三菱电机和日立能源分别在关键制造和能源领域中发现的大多数ICS漏洞中占据了主要位置。使用后释放漏洞是报告中最常见的漏洞类型,其次是边界外读取和输入验证不当的漏洞。SynSaber指出,关于ICS供应商产品的“永远日”漏洞仍然是一个问题,六份CISA通告中提到的“关键”严重性漏洞未得到更新、修补,没有硬件、软件或固件的更新,也没有已知的变通方法。
clash机场推荐“永远日”漏洞是指那些供应商已停止支持的产品中存在的重大安全问题,这对运营安全构成了持续威胁。
漏洞类型比例使用后释放漏洞高边界外读取漏洞中输入验证不当低相关链接:CISA官方网站 SynSaber报告
