Centenas de vulnerabilidades de ICS divulgadas no primeiro semestre de 2022
Mais de 600 vulnerabilidades de produtos do sistema de controle industrial (ICS) foram divulgadas no primeiro semestre de 2022 pela Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA), de acordo com uma análise realizada pela empresa de monitoramento de ativos e redes industriais SynSaber.
O SynSaber contabilizou 681 vulnerabilidades divulgadas pela CISA, um pouco mais do que no primeiro semestre de 2021 . Vale ressaltar que a CISA não publica alertas para todas as falhas de ICS divulgadas publicamente, o que significa que o número real de questões divulgadas entre janeiro e junho pode ser maior.
Aproximadamente 13% dos 681 CVEs não têm um patch e podem nunca ser corrigidos – eles são chamados de “vulnerabilidades para sempre”.
No entanto, em alguns casos, mesmo que a vulnerabilidade tenha um patch, aplicá-lo pode não ser uma tarefa simples devido ao que o SynSaber descreve como “interoperabilidade complicada e restrições de garantia”. As organizações podem precisar esperar que o fornecedor OEM afetado dê sinal verde para a aplicação de patches e precisam determinar os riscos operacionais antes que quaisquer etapas sejam executadas.
Mais de 22% das vulnerabilidades tornadas públicas pela CISA no primeiro semestre de 2022 receberam uma classificação de gravidade “crítica” e 42% foram classificadas como “alta gravidade” com base em sua pontuação CVSS.
No entanto, como os especialistas frequentemente destacaram, as pontuações do CVSS podem ser enganosas no caso do ICS. O SynSaber aconselha as organizações a observar determinados indicadores para determinar se uma vulnerabilidade é praticamente explorável em seu ambiente. Por exemplo, se a exploração exigir interação do usuário, acesso local/físico ou privilégios elevados no sistema de destino, é menos provável que seja explorado.
Neste caso específico, a exploração de 46 vulnerabilidades requer acesso e interação do usuário, e 198 requerem interação do usuário.
Pouco mais da metade das 681 vulnerabilidades ICS exigem um patch de software, enquanto 34% exigem uma atualização de firmware e 12% precisam de uma atualização de protocolo.
Uma avaliação da SynSaber mostra que cerca de 40% das vulnerabilidades devem ser tratadas imediatamente e 8% não podem ser facilmente tratadas e provavelmente exigem controles compensatórios para evitar a exploração.
“Apenas olhar para o grande volume de CVEs relatados pode fazer com que os proprietários de ativos se sintam sobrecarregados, mas os números parecem menos assustadores quando entendemos qual porcentagem de CVEs são pertinentes e acionáveis, versus quais permanecerão ‘vulnerabilidades para sempre’, pelo menos por enquanto”, disse SynSaber em seu relatório.