Environ 34 % des vulnérabilités de sécurité affectant les systèmes de contrôle industriels (ICS) qui ont été signalées au premier semestre 2023 n’ont pas de correctif ni de correction, enregistrant une augmentation significative par rapport aux 13 % de l’année précédente.
Selon les données compilées par SynSaber, un total de 670 défauts de produits ICS ont été signalés via la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis au cours du premier semestre 2023, contre 681 signalés au cours du premier semestre 2022.
Sur les 670 CVE, 88 sont classés critiques, 349 sont classés élevés, 215 sont classés moyens et 18 sont classés faible en gravité. 227 des failles n’ont pas de correctifs contre 88 au S1 2022.
« Les secteurs critiques de la fabrication (37,3% du total des CVE signalés) et de l’énergie (24,3% du total signalé) sont les plus susceptibles d’être touchés », a déclaré la société de cybersécurité et de surveillance des actifs OT dans un rapport partagé avec The Hacker News.
Parmi les autres secteurs industriels importants figurent les systèmes d’eau et d’eaux usées, les installations commerciales, les communications, les transports, les produits chimiques, les soins de santé, l’alimentation et l’agriculture et les installations gouvernementales.
Certaines des autres découvertes notables sont les suivantes –
- Mitsubishi Electric (20,5 %), Siemens (18,2 %) et Rockwell Automation (15,9 %) ont été les fournisseurs les plus touchés dans le secteur manufacturier critique
- Hitachi Energy (39,5 %), Advantech (10,5 %), Delta Electronics et Rockwell Automation (7,9 %) ont été les fournisseurs les plus touchés dans le secteur de l’énergie.
- Siemens est devenue la principale entité produisant le plus de CVE au cours du premier semestre 2023, représentant 41 avis ICS
- L’utilisation après une lecture libre, hors limites, une validation d’entrée incorrecte, une écriture hors limites et une condition de concurrence étaient les cinq principales faiblesses du logiciel
De plus, la majorité des rapports CVE (84,6 %) provenaient de fabricants d’équipement d’origine (OEM) et de fournisseurs de sécurité aux États-Unis, suivis de la Chine, d’Israël et du Japon. La recherche indépendante et universitaire représentait respectivement 9,4 % et 3,9 %.
« Les vulnérabilités Forever-Day restent un problème – six avis CISA identifiés pour les produits de fournisseurs ICS qui ont atteint la fin de leur vie avec des vulnérabilités de gravité » critique « n’ont pas de mise à jour, de correctif, de mises à jour matérielles/logicielles/micrologicielles ou de solutions de contournement connues », a souligné la société. .
SynSaber, cependant, a noté que s’appuyer uniquement sur les avis CISA ICS peut ne pas être suffisant et que les organisations doivent surveiller plusieurs sources d’informations pour avoir une meilleure idée des failles qui peuvent être pertinentes pour leurs environnements.
« Il faut veiller à comprendre les vulnérabilités dans le contexte des environnements dans lesquels elles apparaissent », a-t-il déclaré. « Étant donné que chaque environnement OT est unique et conçu à cet effet, la probabilité d’exploitation et l’impact qu’il peut avoir varient considérablement pour chaque organisation. »
Les résultats surviennent alors que Nozomi Networks a révélé un « volume élevé d’indications d’analyse de réseau dans les installations de traitement de l’eau, des alertes de mot de passe en clair dans l’industrie des matériaux de construction, une activité de transfert de programme dans les machines industrielles, [and] Tentatives d’injection de paquets de protocole OT dans les réseaux pétroliers et gaziers. »
La société de cybersécurité IoT a déclaré avoir détecté en moyenne 813 attaques uniques par jour contre ses pots de miel, les principales adresses IP des attaquants provenant de Chine, des États-Unis, de Corée du Sud, de Taïwan et d’Inde.
