Claroty‘s Team82發布的XIoT安全狀況報告：2022年上半年揭示了物聯網漏洞、供應商自我披露以及完全或部分修復的固件漏洞的增加。

　　根據網絡物理系統保護公司 Claroty 今天發布的新研究，與前六個月相比，影響物聯網設備的漏洞披露在 2022 年上半年 (1H) 增加了 57%。

　　XIoT 安全狀況報告：1H 2022 還發現，在同一時間段內，供應商的自我披露增加了 69%，報告的數量首次超過了獨立研究機構，完全或部分修復的固件漏洞增加了 79 個%，鑒于修補固件與軟件漏洞的相對挑戰，這是一個顯著的改進。

　　該報告由 Claroty 屢獲殊榮的研究團隊 Team82 編寫，深入研究和分析了影響擴展物聯網 (XIoT) 的漏洞，這是一個龐大的網絡物理系統網絡，包括運營技術和工業控制系統 (OT/ICS )、醫療物聯網 (IoMT)、樓宇管理系統和企業物聯網。該數據集包含 Team82 發現的漏洞以及來自可信開源的漏洞，包括國家漏洞數據庫 (NVD)、工業控制系統網絡應急響應小組 (ICS-CERT)、CERT@VDE、MITRE 以及工業自動化供應商施耐德電氣和西門子.

　　“在將事物連接到互聯網數十年后，網絡物理系統正在對我們在現實世界中的體驗產生直接影響，包括我們吃的食物、喝的水、乘坐的電梯以及我們接受的醫療服務， ” Claroty 研究副總裁 Amir Preminger 說。

　　“我們開展這項研究是為了讓這些關鍵領域的決策者對XIoT漏洞狀況有一個完整的了解，使他們能夠正確評估、優先處理和解決支撐公共安全、患者健康、智能電網和公用事業等的關鍵任務系統的風險。”

　　主要發現

　　? 物聯網設備：15% 的漏洞出現在物聯網設備中，與 Team82 上一份涵蓋 2021 年下半年 (2H) 的報告中的 9% 相比顯著增加。此外，物聯網和 IoMT 漏洞的組合首次出現 (18.2%) ) 超過 IT 漏洞 (16.5%)。這表明供應商和研究人員加強了對保護這些連接設備的理解，因為它們可以成為更深入的網絡滲透的門戶。

　　? 供應商自我披露：供應商自我披露 (29%) 首次超過獨立研究機構 (19%)，成為僅次于第三方安全公司 (45%) 的第二大漏洞報告者。發布的 214 個 CVE 幾乎是 Team82 2H 2021 報告中的 127 個總數的兩倍。這表明越來越多的 OT、IoT 和 IoMT 供應商正在建??立漏洞披露程序，并投入更多資源來檢查其產品的安全性和安全性。

　　? 固件：已發布的固件漏洞與軟件漏洞幾乎持平(分別為 46% 和 48%)，與 2H 2021 報告相比大幅躍升，當時軟件 (62%) 和固件 (37%) 之間的差距幾乎為 2:1 .該報告還顯示，完全或部分修復的固件漏洞顯著增加(2022 年 1 月為 40%，高于 2021 年 2 月的 21%)，鑒于更新周期較長和維護窗口不頻繁，修補固件面臨相對挑戰，這一點值得注意。這表明研究人員對保護低級別 Purdue 模型的設備越來越感興趣，這些設備與流程本身更直接相關，因此對攻擊者來說更有吸引力。

　　? 數量和嚴重性：平均而言，XIoT 漏洞以每月 125 個的速度發布和解決，到 2022 年上半年達到 747 個。絕大多數的 CVSS 得分為嚴重 (19%) 或高嚴重性 (46%) )。

　　? 影響：近四分之三 (71%) 對系統和設備可用性有很大影響，這是最適用于 XIoT 設備的影響指標。主要的潛在影響是未經授權的遠程代碼或命令執行(在 54% 的漏洞中普遍存在)，其次是拒絕服務條件(崩潰、退出或重啟)，占 43%。

　　? 緩解措施：首要緩解措施是網絡分段(在 45% 的漏洞披露中建議使用)，其次是安全遠程訪問 (38%) 和勒索軟件、網絡釣魚和垃圾郵件防護 (15%)。

　　? Team82 貢獻：Team82 繼續在 OT 漏洞研究方面處于領先地位，在 1H 2022 中披露了 44 個漏洞，迄今為止共披露了 335 個漏洞。