• 發布單位:TWCERT/CC
• 更新日期:2022-06-22
• 點閱次數:6734

資安廠商 Forescout 旗下的資安研究單位 Vedere Labs，近日發表研究報告，指出 10 家大型營運科技（Operational Technology, OT）大廠設備，一共存有 56 個各式資安漏洞；這些漏洞可造成多家採用該批設備的關鍵基礎設施生產裝置，遭到各式不同形態的駭侵攻擊。

報告提到的 10 家 OT 設備大廠，包括 Honeywell、Motorola、Omron、Siemens、JTEKT、Bentley、Nevada、Phoenix Contact、ProConOS、Yokogawa 等；而這些設備大廠產品被發現的 56 個資安漏洞，在該報告中合稱為「Icefall」。

報告指出，這 56 個資安漏洞可使駭侵者用以發動多種駭侵攻擊，依其比例如下：

• 不當獲取各式登入資訊：38％；
• 韌體操弄：21％；
• 遠端執行任意程式碼：14％；
• 組態設定操弄：8％；
• 服務阻斷攻擊（DoS）：8％；
• 跳過驗證流程：6％；
• 檔案操弄：3％；
• 邏輯操弄：2％。

Forescout 在報告中指出，許多這類 OT 設備的漏洞，係源於設計時的安全性考量不足所致，而這是 OT 設備常見的現象。

報告舉例指出，許多 OT 設備的登入資訊，不但沒有以加密方式儲存或傳送，在各種加密機制方面，從加密演算法到各種資安驗證流程都相當薄弱。Frescout 指出，74% 存有這些漏洞的 OT 設備都得過各式資安認證，顯見這些資安認證本身的稽核和審查過程都不夠嚴謹。

建議各關鍵基礎設施單位，必須徹底進行資安驗證稽核，並且將可能遭到攻擊或經常存有漏洞的設備加強保護，避免曝露於外網，且加強使用者的資安防護技能與意識。