Centenas de vulnerabilidades de ICS divulgadas no primeiro semestre de 2022

O SynSaber contabilizou 681 vulnerabilidades divulgadas pela CISA, um pouco mais do que no primeiro semestre de 2021 . Vale ressaltar que a CISA não publica alertas para todas as falhas de ICS divulgadas publicamente, o que significa que o número real de questões divulgadas entre janeiro e junho pode ser maior.

Aproximadamente 13% dos 681 CVEs não têm um patch e podem nunca ser corrigidos – eles são chamados de “vulnerabilidades para sempre”.

No entanto, em alguns casos, mesmo que a vulnerabilidade tenha um patch, aplicá-lo pode não ser uma tarefa simples devido ao que o SynSaber descreve como “interoperabilidade complicada e restrições de garantia”. As organizações podem precisar esperar que o fornecedor OEM afetado dê sinal verde para a aplicação de patches e precisam determinar os riscos operacionais antes que quaisquer etapas sejam executadas.

Mais de 22% das vulnerabilidades tornadas públicas pela CISA no primeiro semestre de 2022 receberam uma classificação de gravidade “crítica” e 42% foram classificadas como “alta gravidade” com base em sua pontuação CVSS.

No entanto, como os especialistas frequentemente destacaram, as pontuações do CVSS podem ser enganosas no caso do ICS. O SynSaber aconselha as organizações a observar determinados indicadores para determinar se uma vulnerabilidade é praticamente explorável em seu ambiente. Por exemplo, se a exploração exigir interação do usuário, acesso local/físico ou privilégios elevados no sistema de destino, é menos provável que seja explorado.

Neste caso específico, a exploração de 46 vulnerabilidades requer acesso e interação do usuário, e 198 requerem interação do usuário.

Pouco mais da metade das 681 vulnerabilidades ICS exigem um patch de software, enquanto 34% exigem uma atualização de firmware e 12% precisam de uma atualização de protocolo.

Uma avaliação da SynSaber mostra que cerca de 40% das vulnerabilidades devem ser tratadas imediatamente e 8% não podem ser facilmente tratadas e provavelmente exigem controles compensatórios para evitar a exploração.

“Apenas olhar para o grande volume de CVEs relatados pode fazer com que os proprietários de ativos se sintam sobrecarregados, mas os números parecem menos assustadores quando entendemos qual porcentagem de CVEs são pertinentes e acionáveis, versus quais permanecerão ‘vulnerabilidades para sempre’, pelo menos por enquanto”, disse SynSaber em seu relatório.