按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

10 家營運科技設備大廠 56 個漏洞,造成多家關鍵基礎設施數千套生產設備曝險

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2022-06-22
  • 點閱次數:1238
10 家營運科技設備大廠 56 個漏洞,造成多家關鍵基礎設施數千套生產設備曝險 TWCERT/CC

資安廠商 Forescout 旗下的資安研究單位 Vedere Labs,近日發表研究報告,指出 10 家大型營運科技(Operational Technology, OT)大廠設備,一共存有 56 個各式資安漏洞;這些漏洞可造成多家採用該批設備的關鍵基礎設施生產裝置,遭到各式不同形態的駭侵攻擊。

報告提到的 10 家 OT 設備大廠,包括 Honeywell、Motorola、Omron、Siemens、JTEKT、Bentley、Nevada、Phoenix Contact、ProConOS、Yokogawa 等;而這些設備大廠產品被發現的 56 個資安漏洞,在該報告中合稱為「Icefall」。

報告指出,這 56 個資安漏洞可使駭侵者用以發動多種駭侵攻擊,依其比例如下:

  • 不當獲取各式登入資訊:38%;
  • 韌體操弄:21%;
  • 遠端執行任意程式碼:14%;
  • 組態設定操弄:8%;
  • 服務阻斷攻擊(DoS):8%;
  • 跳過驗證流程:6%;
  • 檔案操弄:3%;
  • 邏輯操弄:2%。

Forescout 在報告中指出,許多這類 OT 設備的漏洞,係源於設計時的安全性考量不足所致,而這是 OT 設備常見的現象。

報告舉例指出,許多 OT 設備的登入資訊,不但沒有以加密方式儲存或傳送,在各種加密機制方面,從加密演算法到各種資安驗證流程都相當薄弱。Frescout 指出,74% 存有這些漏洞的 OT 設備都得過各式資安認證,顯見這些資安認證本身的稽核和審查過程都不夠嚴謹。

建議各關鍵基礎設施單位,必須徹底進行資安驗證稽核,並且將可能遭到攻擊或經常存有漏洞的設備加強保護,避免曝露於外網,且加強使用者的資安防護技能與意識。

回頁首