Nem fogynak a biztonsági rések az ipari rendszereken

​Az elmúlt évben több mint 400 biztonsági résre derült fény az ipari vezérlőrendszerek kapcsán. A hibajavítások sem mindig érkeztek az elvárt tempóban.
 

A Dragos kiberbiztonsági cég elkészítette a 2019-re vonatkozó azon felmérését, amelyben az ipari vezérlőrendszerek (ICS) sérülékenységeit elemezte. Ennek során kiderült, hogy tavaly összesen 433 olyan biztonság rés került nyilvánosságra, amik alkalmasak voltak ICS-rendszerek veszélyeztetésére. Ez megfelel a 2018-as adatoknak, vagyis kijelenthető, hogy stagnált az újonnan felfedezett sérülékenységek száma.
 
A kutatók szerint a biztonsági hibák többsége bemeneti paraméterek és egyéb adatok nem kellő szintű ellenőrzésére volt visszavezethető, de viszonylag gyakoriak voltak a puffertúlcsordulásra, XSS (cross-site scripting) alapú támadásokra és szolgáltatásmegtagadásokra módot adó sebezhetőségek is. Mindezek mellett több esetben kellett azzal szembesülni, hogy e kritikus fontosságú rendszerek beégetetten tartalmaznak "gyári" jelszavakat.
 
A sebezhetőségek 77 százaléka az ICS-infrastruktúrákhoz szervesen tartozó rendszerösszetevőket sújtotta: mérnöki munkaállomások, ipari hálózati berendezések, kihelyezett eszközök, operátori panelek stb.
 
A biztonsági rések háromnegyede hálózaton keresztül is kihasználható volt, míg a többi kizárólag olyan módon, hogy a támadónak helyi, közvetlen fizikai hozzáféréssel kellett rendelkeznie az érintett eszközhöz ahhoz, hogy kiaknázza a sebezhetőségben rejlő "lehetőségeket". Összességében elmondható, hogy a sérülékenységek fele azzal a kockázattal is járt, hogy az adott szervezet egy támadás során elveszíthette a rendszermonitorozás lehetőségét vagy akár a teljes kontrollt a rendszerei felett.
 
A Dragos egy további aggasztó tényre is rávilágított: a szóban forgó sebezhetőségek 26 százalékának esetében nem volt elérhető javítás akkor, amikor a hibák nyilvánosságra kerültek. Egy jelentős részükhöz pedig nemcsak patch nem volt, hanem egyéb kockázatcsökkentő lehetőségek sem álltak rendelkezésre.
Vélemények
 
  1. 4

    Az Apple Safari legújabb verziója négy biztonsági rést segít befoltozni.

  2. 4

    Az Apple iOS és az iPadOS 14-es kiadása biztonsági hibajavításokkal is szolgál.

  3. 2

    ​A WastedLocker zsaroló program nagy felfordulást képest okozni a számítógépeken, és biztonsági mentések hiányában akár helyreállíthatatlan károkat is előidézhet.

 
Partnerhírek
​Az ESET kutatói felfedezték a KryptoCibule-t

Egy korábban nem ismert rosszindulatú trójai szoftvercsaládot fedeztek fel az ESET kutatói, amely kártékony torrenteken keresztül terjedve többféle trükköt is bevet annak érdekében, hogy annyi kriptovalutától fossza meg áldozatait, amennyitől csak lehetséges – mindezt észrevétlenül.

Hogyan tehetjük biztonságosabbá a TikTok fiókunkat?

​A TikTok három évvel ezelőtt robbant be a köztudatba, azóta pedig töretlen népszerűségnek örvend, hiszen mára a második legnépszerűbb social média platformmá nőtte ki magát.

hirdetés
Közösség