資安業者 Bitsight 發布最新報告指出,
2024 年暴露於公開網路的工業控制系統及營運技術(ICS/OT)設備數量激增 12%,目前已超過 18 萬台設備處於高風險狀態。這些系統負責控制電網、製造廠房等關鍵基礎設施的實體運作。一旦遭到攻擊,可能直接衝擊公共安全。
暴露設備數量持續攀升
根據 Bitsight 的研究報告 The Unforgivable Exposure,2024 年全球暴露的 ICS/OT 設備從每月約 16 萬個唯一 IP 位址快速增加至 18 萬個。若依照目前趨勢發展,預計不到一年內暴露設備數量將突破 20 萬台。
這些關鍵系統本不應輕易被外部存取,卻因設定不當而直接暴露在網路上。Bitsight 強調,
許多設備仍使用 Modbus、S7 等未受保護的工業通訊協定(industrial protocols),且多數仍採用出廠預設設定,形成嚴重的資安漏洞。
實體安全風險不容忽視
與一般資料外洩事件不同,針對 ICS/OT 系統的攻擊會直接威脅公共安全與基礎設施運作。報告指出,這些風險可能導致幫浦停擺、電力中斷或暖氣系統失效等實際後果。
更令人憂心的是,許多暴露的系統存在已知漏洞,其中包含 CVSS 評分高達 10.0 的嚴重漏洞,且具有「
簡單的攻擊路徑」(trivial exploit paths)。以今年為例,工業設備廠商 Moxa 就曾修補其 OT 路由器中的重大命令注入漏洞(
CVE-2024-9140),該漏洞可讓未經認證的遠端攻擊者完全控制設備。根據美國網路安全暨基礎設施安全局(CISA)的資料顯示,
近 30% 公開記錄的 ICS/OT 系統漏洞至今仍未有修補程式或更新版本。
這反映出明確趨勢:隨著 ICS/OT 系統持續現代化,威脅也隨之加劇,對實體安全構成的潛在衝擊日益嚴峻。
新型惡意軟體鎖定工控系統
Bitsight 的報告揭露,駭客正積極瞄準這些脆弱的攻擊面。2024 年,研究人員發現兩種專門針對工控系統的新型惡意軟體:
FrostyGoop 與
Fuxnet。這些惡意程式利用工業通訊協定進行攻擊,專門用來鎖定並癱瘓設備。
延伸閱讀:他山之石! 惡意工控軟體 Fuxnet 如何瞬間摧毀87000個工業感測器
從全球分布來看,美國擁有最多暴露設備,約達 8 萬台。但若以暴露設備數量與企業數量或總人口的比例計算,義大利與西班牙面臨的風險最高。這項發現呼應了 Censys 在 2024 年 8 月發布的報告。該報告指出,美國境內有超過 4 萬台暴露的 ICS 設備,其中近半數的水資源與廢水處理介面可在無需認證的情況下被操控。
這些風險影響範圍廣泛,涵蓋燃料輸送基礎設施、建築控制系統及水處理設施等關鍵系統。Bitsight 更呼籲設備製造商、網際網路服務供應商(ISPs)及系統營運者立即採取行動,包括:
- 移除公開存取權限
- 持續監控網路環境
- 從設計階段即強制執行安全設定
本文轉載自 HACKREAD。