資安廠商 Forescout 旗下的資安研究單位 Vedere Labs,近日發表研究報告,指出 10 家大型營運科技(Operational Technology, OT)大廠設備,一共存有 56 個各式資安漏洞;這些漏洞可造成多家採用該批設備的關鍵基礎設施生產裝置,遭到各式不同形態的駭侵攻擊。
報告提到的 10 家 OT 設備大廠,包括 Honeywell、Motorola、Omron、Siemens、JTEKT、Bentley、Nevada、Phoenix Contact、ProConOS、Yokogawa 等;而這些設備大廠產品被發現的 56 個資安漏洞,在該報告中合稱為「Icefall」。
報告指出,這 56 個資安漏洞可使駭侵者用以發動多種駭侵攻擊,依其比例如下:
- 不當獲取各式登入資訊:38%;
- 韌體操弄:21%;
- 遠端執行任意程式碼:14%;
- 組態設定操弄:8%;
- 服務阻斷攻擊(DoS):8%;
- 跳過驗證流程:6%;
- 檔案操弄:3%;
- 邏輯操弄:2%。
Forescout 在報告中指出,許多這類 OT 設備的漏洞,係源於設計時的安全性考量不足所致,而這是 OT 設備常見的現象。
報告舉例指出,許多 OT 設備的登入資訊,不但沒有以加密方式儲存或傳送,在各種加密機制方面,從加密演算法到各種資安驗證流程都相當薄弱。Frescout 指出,74% 存有這些漏洞的 OT 設備都得過各式資安認證,顯見這些資安認證本身的稽核和審查過程都不夠嚴謹。
建議各關鍵基礎設施單位,必須徹底進行資安驗證稽核,並且將可能遭到攻擊或經常存有漏洞的設備加強保護,避免曝露於外網,且加強使用者的資安防護技能與意識。
本文轉載自TWCERT/CC。