Aproximadamente el 34% de las vulnerabilidades de seguridad que afectan a los sistemas de control industrial (ICS) y que se informaron en la primera mitad de 2023 no tienen un parche o solución, lo que representa un aumento significativo desde el 13% del año anterior.
Según los datos recopilados por SynSaber, se informaron un total de 670 fallas en productos ICS a través de la Agencia de Ciberseguridad e Infraestructura de EE. UU. (CISA) en la primera mitad de 2023, menos que las 681 reportadas durante la primera mitad de 2022.
De los 670 CVE (Identificadores de Vulnerabilidades Comunes), 88 están clasificados como críticos, 349 como altos, 215 como medios y 18 como bajos en severidad. 227 de las fallas no tienen soluciones en comparación con 88 en la primera mitad de 2022.
«El sector de fabricación crítica (37.3% del total de CVE reportados) y la energía (24.3% del total reportado) son los más propensos a ser afectados», dijo la compañía de ciberseguridad y monitoreo de activos OT en un informe compartido con The Hacker News.
Otros sectores verticales prominentes incluyen sistemas de agua y aguas residuales, instalaciones comerciales, comunicaciones, transporte, químicos, atención médica, alimentos y agricultura, y facilidades gubernamentales.
Algunos de los otros hallazgos destacados son los siguientes:
- Mitsubishi Electric (20.5%), Siemens (18.2%) y Rockwell Automation (15.9%) fueron los proveedores más afectados en el sector de fabricación crítica.
- Hitachi Energy (39.5%), Advantech (10.5%), Delta Electronics y Rockwell Automation (ambos 7.9%) fueron los proveedores más afectados en el sector energético.
- Siemens se destacó como la entidad líder que produjo la mayor cantidad de CVE en la primera mitad de 2023, representando 41 avisos de ICS.
- Use-after-free, lectura fuera de límites, validación de entrada incorrecta, escritura fuera de límites y condición de carrera fueron las cinco principales debilidades de software.
Además, la mayoría de los informes de CVE (84.6%) provinieron de fabricantes originales de equipos (OEM) y proveedores de seguridad en Estados Unidos, seguidos de China, Israel y Japón. La investigación independiente y académica representó el 9.4% y 3.9%, respectivamente.
«Las vulnerabilidades de tipo ‘Forever-Day’ siguen siendo un problema: seis avisos de CISA identificaron productos de proveedores ICS que llegaron al final de su vida útil y presentan vulnerabilidades de ‘Crítica’ gravedad sin actualización, parche, actualización de hardware/software/firmware o soluciones conocidas,» señaló la empresa.
Sin embargo, SynSaber destacó que depender únicamente de los avisos de ICS de CISA puede no ser suficiente, y que las organizaciones deben monitorear múltiples fuentes de información para tener una mejor idea de las fallas que pueden ser relevantes para sus entornos.
«Se debe tener cuidado al entender las vulnerabilidades en el contexto de los entornos en los que aparecen», dijo. «Dado que cada entorno OT es único y diseñado para un propósito específico, la probabilidad de explotación y su impacto pueden variar considerablemente para cada organización».
Estos hallazgos surgen cuando Nozomi Networks reveló un «alto volumen de indicaciones de escaneo de redes en instalaciones de tratamiento de agua, alertas de contraseñas en texto claro en la industria de materiales de construcción, actividad de transferencia de programas en maquinaria industrial y intentos de inyección de paquetes de protocolo OT en redes de petróleo y gas».
La compañía de ciberseguridad IoT dijo que detectó un promedio de 813 ataques únicos diarios contra sus honeypots, con las principales direcciones IP de atacantes procedentes de China, Estados Unidos, Corea del Sur, Taiwán e India.
Los costos no se limitan al posible costo del ciberincidente en sí, sino también al costo de la remediación, y algunos de esos costos están relacionados con la pérdida de reputación y confianza por parte de tus clientes y socios. Una vez que comprendas el impacto potencial en el negocio, qué tan explotable es la amenaza y cuánto costará mitigar el riesgo, tendrás la información necesaria para decidir qué riesgos son los más críticos para que los mitiguen.
Fuente: The Hacker News
