SCADA漏洞的平均修复时间竟长达150天

监控和数据采集(SCADA)系统(尤其是其人机界面(HMI))已成为了恶意攻击者垂涎的目标,而根据趋势科技和零日计划(ZDI)新发布的一项报告,服务提供商平均要花费150天来修补这类产品的漏洞。

 


 

通过对ICS-CERT和ZDI在2015-2016年期间收集的数百条漏洞记录的分析,研究者们最终于上周二发布了这份报告。

研究人员指出,攻击者之所以可能选择监控和数据采集系统的人机界面作为攻击对象的原因有几个。由于HMI管理是工业系统中的一个关键组件,包含关键的基础设施,因此攻击它能获取对复杂攻击很有用的信息。

一旦攻击者入侵了人机交互界面,他们甚至可以对监控和数据采集设备进行物理攻击。此外,恶意攻击者可以利用人机界面来禁用警报和通知,让运营商无法察觉危险的配置或值。

因为人机界面大多是Windows环境下的程序,而不是基于网络的程序,利用跨站点脚本(XSS)和跨站点请求伪造(CSRF)的攻击较少见。过去两年里攻击者最喜欢利用的漏洞是相关认证/授权缺乏、默认配置疲软(23%)、内存泄露错误(20%)、凭证管理漏洞(19%)和代码注入(9%)。

在过去的四年里,漏洞从披露到公布的平均时间并没有得到改善。虽然有一些供应商能一周内处理被披露的监控和数据采集系统漏洞,2015-2016期间的该类漏洞的平均处理时间大约为150天。

专家指出,一些规模较小的供应商(比如Cogent Real-Time Systems和Trihedral Engineering)修补漏洞的速度高于平均值,而规模较大的公司(如ABB公司和通用电气)的平均响应时间则超过220天。

 


 

从厂商披露漏洞到各供应商补丁发布间隔时间

与其他行业相比,监控和数据采集的服务供应商修补漏洞的速度和网络安全公司大致持平。流行的软件供应商,如微软、苹果、甲骨文和Adobe的响应时间都在120天左右,而商务软件的开发人员明显要慢一些,平均修补速度为189天。

趋势科技的报告包括了对影响监控和数据采集系统的美中漏洞的案例分析。内存崩溃漏洞的案例研究中描述了Advantech WebAccess的人机界面中的一个缓冲区溢出问题,它可以被攻击者利用从而以更高权限执行任意代码。

针对证书管理问题,比如硬编码密码和凭证保护不足,这家安全公司分享了对通用电气(GE)的MDS PulseNET产品的案例分析。

案例研究部分也包含了对Cogent DataHub的代码注入问题、Advantech WebAccess和西门子的SINEMA服务器的身份验证及相关缺陷的研究。

本文转自d1net(转载)

时间: 2024-09-20 00:01:54

SCADA漏洞的平均修复时间竟长达150天的相关文章

青少年每天平均上网时间长达5.3小时

本报讯(记者李莉)5月17日是"世界电信日",今年的主题为"保障儿童网上安全".中央综治委预防青少年犯罪小组和中国青少年研究中心联合对2.4万名25岁以下网民的调查显示:青少年每天平均上网时长为5.3小时,为全国平均水平的2.3倍.48.28%的青少年接触过黄色网站:43.39%的青少年收到过含有暴力.色情.恐吓.教唆.引诱等内容的电子邮件:14.49%的青少年因为相信了网上的虚假信息受到过财物或身心的伤害. 据海淀法院统计,抢劫罪在1999年以后上升为未成年人犯罪

Flash一漏洞曝光长达16个月 Adobe致歉

Adobe近日就一个长达16个月的Flash漏洞发表公开道歉,尽管这之间Adobe为Flash提供了四次升级,但是该漏洞被公布了16个月后,也就是在11月底发布的FlashPlayer10.1Beta中这个漏洞才被修复. 安全研究人员MatthewDempsky在2008年9月22日首次在Adobe的Bug数据库中披露了这个漏洞(JIRAFP-677),它会导致IE6.IE7.Firefox和Safari3崩溃,该漏洞虽然不会导致其它浏览器崩溃但是会引起Flash无响应. AdobeFlashP

LinkedIn曝安全漏洞:Cookie有效期长达1年

北京时间5月23日上午消息,安全研究人员表示,职业社交网站LinkedIn存在安全漏洞,使得黑客无需密码即可入侵用户账户. 就在LinkedIn上周IPO并实现市值翻番后,周末立刻出现安全漏洞的消息,使人们回想起上世纪90年代末的互联网泡沫. 该漏洞是由印度新德里的独立互联网安全研究人员瑞什·纳朗(Rishi Narang)发现的.他上周日表示,该问题与LinkedIn管理常规数字文件cookie的方法有关. 在用户输入了正确的用户名和密码并访问账户后,LinkedIn系统会在用户电脑上创建一个

BackBlaze:数据显示HGST硬盘的总体故障率最低 平均使用时间长达5年

提供云备份服务的BackBlaze每年都会发布硬盘产品故障率报告.最新的故障率报告刚刚发表,BackBlaze的存储单元共有56,224块硬盘.结果显示, HGST硬盘的总体故障率最低,HGST的某些型号硬盘也是BackBlaze平均使用时间最长的硬盘产品,其中2TB型号的平均使用时间接近5年,过去两年半的 故障率只有1.55%. BackBlaze之前的报告显示希捷的故障率最高,但最近它改进了很多.BackBlaze目前使用4TB和6TB容量的希捷硬盘,虽然故障率高于HGST,但由于其价格和可

绿盟科技2016 Q2 DDoS态势报告 单次攻击最长达387小时71TB

根线报,绿盟科技即将发布Q2 DDoS态势报告,小编先拿到了报告的概要内容分享给大家. 据绿盟科技全球DDoS态势感知平台监控数据分析显示,Q2发生DDoS攻击事件有所下降,平均攻击峰值也有所降低,但攻击手段呈现复杂化,因此总体攻击态势依然严峻. 2016 Q2 DDoS态势报告主要观点 Q2全球被DDoS攻击次数达到5万多次 本季度,全球范围内我们监控到50988次DDoS攻击,受攻击最严重的国家是中国,占全部被攻击国家的53.2%,其次是美国,占比22.6%. Q2单次攻击峰值达到445.7

Fruitfly——一个潜伏在macOS长达十年的恶意软​件

本文讲的是Fruitfly--一个潜伏在macOS长达十年的恶意软​件, 前言 研究人员在部分Mac电脑内发现了名为FruitFly的恶意软件,至少已经潜伏了五到十年,该恶意软件多年来在后台静音操作,通过内置摄像头对用户进行监控,捕捉屏幕图像,记录键盘输入的关键信息. 表面上,FruitFly的攻击功能似乎非常少,只是暗中监视受害者,捕捉屏幕图像,记录键盘输入等.但是,奇怪的是,他至少已经潜伏了五到十年,一直没有被发现.根据分析,它包含一些古老的功能和基本的远程遥控功能,目前FruitFly 总

美国人每月人均边看电视边上网时间长达3.5小时

北京时间3月23日早间消息,据国外媒体报道,美国市场研究公司尼尔森周一发布的报告显示,有越来越多的美国人边看电视边上网. 尼尔森最新发布的<三大屏幕报告>(Three Screen Report)发现,2009年12月,平均每个美国人每月边看电视边上网的时间长达3小时30分,较去年的2小时36分增加了34.5%.有60%的电视观众每个月至少会有一次边看电视边上网的情况发生. 业内人士认为,这对于电视行业是个坏消息,因为该行业一直都担心互联网将逐渐侵蚀观众看电视的时间.总体而言,2009年12月

数百万网站数据泄露长达数月,这也许是史上最大的云安全事故

       今日(2月24日),一个可能影响互联网为之一颤的漏洞轰然出现,知名云安全服务商 Cloudflare 被爆泄露用户 HTTPS 网络会话中的加密数据长达数月,受影响的网站预计至少200万之多,其中涉及Uber.1password 等多家知名互联网公司的服务. 据雷锋网(公众号:雷锋网)了解,Cloudflare 为众多互联网公司提供 CDN.安全等服务,帮助优化网页加载性能.然而由于一个编程错误,导致在特定的情况下,Cloudflare 的系统会将服务器内存里的部分内容缓存到网页中

黑客为推销防火墙产品长达一个月的攻击

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 为推销公司研制的网络安全产品,上海一家网络公司的老总罗春竟伙同3名员工,利用黑客技术对北京联众电脑技术有限公司相关服务器进行长达一个月的拒绝服务攻击(DDOS),致使联众损失百万余元.昨天上午9时,罗春等4名犯罪嫌疑人在海淀法院公开受审. 事件:为卖产品"黑"联众 据检察机关指控,从2007年4月26日起,上海某网络公司的