Nem fogynak a biztonsági rések az ipari rendszereken

Szerző: Biztonságportál | Utolsó módosítás: 2020.06.23.

Az elmúlt évben több mint 400 biztonsági résre derült fény az ipari vezérlőrendszerek kapcsán. A hibajavítások sem mindig érkeztek az elvárt tempóban.

A Dragos kiberbiztonsági cég elkészítette a 2019-re vonatkozó azon felmérését, amelyben az ipari vezérlőrendszerek (ICS) sérülékenységeit elemezte. Ennek során kiderült, hogy tavaly összesen 433 olyan biztonság rés került nyilvánosságra, amik alkalmasak voltak ICS-rendszerek veszélyeztetésére. Ez megfelel a 2018-as adatoknak, vagyis kijelenthető, hogy stagnált az újonnan felfedezett sérülékenységek száma.

A kutatók szerint a biztonsági hibák többsége bemeneti paraméterek és egyéb adatok nem kellő szintű ellenőrzésére volt visszavezethető, de viszonylag gyakoriak voltak a puffertúlcsordulásra, XSS (cross-site scripting) alapú támadásokra és szolgáltatásmegtagadásokra módot adó sebezhetőségek is. Mindezek mellett több esetben kellett azzal szembesülni, hogy e kritikus fontosságú rendszerek beégetetten tartalmaznak "gyári" jelszavakat.

A sebezhetőségek 77 százaléka az ICS-infrastruktúrákhoz szervesen tartozó rendszerösszetevőket sújtotta: mérnöki munkaállomások, ipari hálózati berendezések, kihelyezett eszközök, operátori panelek stb.

A biztonsági rések háromnegyede hálózaton keresztül is kihasználható volt, míg a többi kizárólag olyan módon, hogy a támadónak helyi, közvetlen fizikai hozzáféréssel kellett rendelkeznie az érintett eszközhöz ahhoz, hogy kiaknázza a sebezhetőségben rejlő "lehetőségeket". Összességében elmondható, hogy a sérülékenységek fele azzal a kockázattal is járt, hogy az adott szervezet egy támadás során elveszíthette a rendszermonitorozás lehetőségét vagy akár a teljes kontrollt a rendszerei felett.

A Dragos egy további aggasztó tényre is rávilágított: a szóban forgó sebezhetőségek 26 százalékának esetében nem volt elérhető javítás akkor, amikor a hibák nyilvánosságra kerültek. Egy jelentős részükhöz pedig nemcsak patch nem volt, hanem egyéb kockázatcsökkentő lehetőségek sem álltak rendelkezésre.

Iratkozzon fel hírlevelünkre!

További hírek

Iránymutatás a DDoS-elleni védelemhez

Így működik az adathalászok kedvenc szolgáltatása

Aggasztó az ipari rendszerek biztonsága

Befellegzett az alvilági piactérnek

Riasztások

4

ChromeOS sebezhetőség

Kritikus fontosságú hibajavítás vált elérhetővé a ChromeOS-hez.
3

ClamAV sérülékenység

A ClamAV kapcsán egy közepes veszélyeségű sebezhetőségre derült fény.
3

IBM WebSphere frissítés

Az IBM két sebezhetőségről számolt be a WebSphere Application Server kapcsán.
3

Oracle Linux frissítések

Az Oracle 71 hibajavítást adott ki az Oracle Linux operációs rendszerhez.
4

Google Chrome hibajavítások

Több mint egy tucat biztonsági javítással bővült a Google Chrome.
4

VirtualBox biztonsági rések

Letölthető a VirtualBox legújabb kiadása benne 13 biztonsági javítással.
4

Oracle Database Server hibák

Az Oracle nyolc olyan biztonsági résről számolt be, amelyeket a Database Server kapcsán kellett orvosolnia.
4

MySQL sebezhetőségek

A MySQL három tucat biztonsági frissítéssel gyarapodott.
4

Java sérülékenységek

Az Java több mint egy tucat biztonsági frissítést kapott.
3

Edge biztonsági rések

A Microsoft három biztonsági rést foltozott be az Edge webböngészőn.

	G Data AntiVirus 10 eszköz 2 év Új licenc
	58500 Ft

	G Data Total Security 2 év 4 eszköz Új licenc
	42750 Ft

	G Data Total Security 1 év 2 eszköz Új licenc
	18750 Ft