西门子是全球电子电气工程领域的领先企业,其产品是工业控制领域的主流设备,广泛应用于电力行业、石油石化、轨道交通、智能制造、钢铁冶金等多个关键基础设施领域。2020年度,美国ICS-CERT共计发布漏洞咨询279个,其中关于西门子的漏洞咨询有83个,其中严重漏洞及高危漏洞占比高达71.83%。种类最多的漏洞类型是缓存溢出,其次是未授权访问及敏感信息明文未加密。
天地和兴工业网络安全研究院整理了2020年度ICS-CERT披露的关于西门子的漏洞数量、漏洞严重程度、漏洞利用方法、漏洞类型、风险评估、及影响行业,为相关企业及监管部门提供参考,防患于未然。
一、漏洞数量
根据美国ICS-CERT发布的漏洞咨询,2020年1月1日至2020年12月28日,共计发布漏洞咨询279个,其中西门子83个,约占29.75%。2019年度,共计发布漏洞咨询206个,其中西门子40个,占比约为19.42%。
图1 ICS-CERT发布的漏洞咨询数量
2020年美国ICS-CERT发布的漏洞咨询数量高于2019年,其中关于西门子的漏洞咨询数量也显著增加。与2019年相比,2020年发布的漏洞咨询总数增长了35.44%,关于西门子的漏洞咨询数量更是暴增107.50%。然而这种增加与安全研究人员对ICS安全性的关注度增加有关,并不意味着产品开发质量下降。
德国西门子股份公司创立于1847年,是全球电子电气工程领域的领先企业。西门子自1872年进入中国,140余年来以创新的技术、卓越的解决方案和产品坚持不懈地对中国的发展提供全面支持,并以出众的品质和令人信赖的可靠性、领先的技术成就、不懈的创新追求,确立了在中国市场的领先地位。
二、漏洞严重程度
图2 2020年度西门子漏洞严重程度占比(基于CVSS v3)
图3 2019年度西门子漏洞严重程度占比(基于CVSS v3)
图4 2020年度ICS-CERT漏洞严重程度占比(基于CVSS v3)
图5 2019年度ICS-CERT漏洞严重程度占比(基于CVSS v3)
2020年度,ICS-CERT发布的严重漏洞(CVSS 9-10分)及高危漏洞(CVSS 7-8.9分)占比高达79.46%,比2019年的75.25%略有上升。
2020年度,ICS-CERT发布的关于西门子的严重漏洞(CVSS 9-10分)及高危漏洞(CVSS 7-8.9分)占比高达71.83%,比2019年的75.00%略有下降。
无论是2019年还是2020年,整体工业行业高危以上漏洞占比依旧很高,约为3/4,整体安全态势依旧不容乐观。
三、漏洞利用方法
图6 西门子漏洞利用方法对比
图7 ICS-CERT漏洞利用方法对比
虽然2020年漏洞披露数量比2019年有所增加,但是漏洞利用方法并没有什么区别。整体来看,低技能水平利用及可远程利用占了绝大部分,其实低技能水平往往是和可远程利用绑定的。绝大部分的漏洞都可以通过exp,甚至一个小白都可以进行攻击。还有一些是公开漏洞没打补丁,仅仅有一小部分是需要相邻网络,只有微乎其微的需要高技能水平的漏洞利用。整体安全态势还是需要重视和改进的。西门子漏洞和整体的漏洞并无较大区别,都需要进一步的加强来减少漏洞。
四、漏洞类型
图8 2020年度西门子漏洞类型占比
图9 2019年度西门子漏洞类型占比
图10 2020年度ICS-CERT漏洞类型占比
图11 2019年度ICS-CERT漏洞类型占比
2020年比2019年漏洞增加不少,但是漏洞类型比例并无太差差别。整体上,漏洞种类繁多。对于应用程序设计之初的缓存溢出漏洞依旧是主要漏洞类型,其次是未授权访问,敏感信息明文未加密。西门子相较于整体来说并无太大却别,但是敏感信息加密保护做得比较好。
五、漏洞风险
图12 2020年度西门子漏洞风险占比
图13 2019年度西门子漏洞风险占比
图14 2020年度ICS-CERT漏洞风险占比
图15 2019年度ICS-CERT漏洞风险占比
整体上,拒绝服务、代码执行、获取敏感信息、修改配置占据了大部分的漏洞风险,西门子的漏洞比例除了未授权访问和整体并无较大区别。
六、影响行业
图16 西门子漏洞影响行业对比
图17 ICS-CERT漏洞影响行业对比
相较于2019年,整体上各行业均有明显的上升趋势。对于西门子及其他设备生产商来说,制造、能源、水利、农业、化工为主要的影响行业,这些行业的风险会对社会生产生活造成较大的影响。因此这些行业应该着重关注最新漏洞的报送情况,及时的解决问题,升级组件,加强补丁来解决风险隐患。
七、总结
就算是品质出众、技术领先的西门子,依然在今年有层出不穷的各类的漏洞,很多漏洞低技能水平,小白抱着一个exp顺着网线就利用漏洞。工业安全路漫漫,唯有砥砺复前行。
声明:本文来自天地和兴,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。