Hosszú idő óta az elmúlt egy héten nem jelentek meg új ICS sérülékenységi információk az általam követett forrásokban, ezért a heti ICS sérülékenységekről szóló posztot felhasználom arra, hogy egy rövid összefoglalást készítsek a 2017-ben általam újraközölt ICS sérülékenységekről.
2017-ben összesen 430 ICS rendszerekkel/berendezésekkel kapcsolatos sérülékenységről szóló információ adtam közre a blogon keresztül, ami közel 65%-os növekedést jelentett 2016-hoz képest. A CVSSv3 alapján történő besorolás szerint a kritikus sérülékenységek számában még ennél is nagyobb volt a növekedés, 2016-hoz képest 72%-kal több kritikus sérülékenység került publikálásra (2016-ban 47, 2017-ben 81), a magas besorolású sérülékenységek esetén ez a szám már 80% fölött van (107 és 193), a közepes kategóriájú sérülékenységeknél pedig 58% volt a növekedés (96 és 152). Csökkenést egyedül az alacsony besorolású sérülékenységeknél tapasztaltam (11 és 4).
A 2017-ben publikált sérülékenységek nagyon nagy többsége (95%-a) távolról is kihasználható. A sérülékenységek gyártók szerinti bontásában nincs nagy meglepetés, a nagy gyártók végeztek idén is az "élen".
Ahogy ezek a statisztikák is mutatják, az ICS rendszerek/berendezések sérülékenységi helyzete korántsem jó, azonban még ezt a képet is tovább rontja, ha azt nézzük, hogy a publikált sérülékenységekkel kapcsolatosan elérhetőek-e hibajavítások? A 430 sérülékenység több, mint harmadához a sérülékenység publikálásakor nem volt elérhető javítás, vagyis ezeket a sérülékenységeket 0. napi sérülékenységként kell kezelni és ezeknek az eseteknek egy igen tekintélyes hányadában a gyártó is kijelentette, hogy az adott termék/verzió támogatási ciklusa végére ért és soha nem fognak javítást kiadni az adott sérülékenységgel kapcsolatban (nagyon sok mindenért jogosan lehet kárhoztatni a Microsoft-ot, de amikor a redmond-i gyártó látta, hogy az EternalBlue sérülékenység milyen hihetetlen komoly károkat okoz a WannaCry ransomware-kampány idején, saját korábbi kijelentésével szembemenve is adott ki javítást egyes, már nem támogatott, de széles körben használt operációs rendszer verzióihoz). Tekintettel arra, hogy a legtöbb ICS rendszer/berendezés életciklusa 15-20 év is lehet, az ilyen, gyártói támogatással már nem rendelkező, de publikusan elérhető sérülékenységeket tartalmazó rendszerek még igen sokáig a mindennapjaink fontos folyamatait vezérlő szereplői lehetnek. Éppen ezért fontos, hogy foglalkozzunk az ICS rendszerek kiberbiztonsági kérdéseivel.