關鍵基礎設施仍面臨高風險:Forescout的研究聚焦21個新漏洞

波及各種主流路由器,以及用於連接能源、醫療保健、交通運輸和應急服務領域關鍵本地網路的開放原始碼組件

加州聖荷西--()--(美國商業資訊)-- 全球網路安全領導者Forescout今天發布了《SIERRA:21——生活在邊緣》(SIERRA:21 – Living on the Edge),分析了在OT/IoT路由器和開放原始碼軟體組件中新發現的21個漏洞。該報告由致力於發現關鍵基礎設施漏洞的全球頂尖團隊Forescout Research – Vedere Labs編寫,強調了關鍵基礎設施面臨的持續風險,並揭示了可能的緩解措施。

《SIERRA:21——生活在邊緣》介紹了對Sierra Wireless AirLink蜂窩路由器及其一些開放原始碼組件(如TinyXML和OpenNDS)的研究。Sierra Wireless路由器很受歡迎,一個Wi-Fi網路開放資料庫顯示,全球有24.5萬個網路在各種應用中使用Sierra Wireless。例如,Sierra Wireless路由器用於警車與中央網路管理系統的連接或流式監控視訊、製造廠的工業資產監控、醫療設施的臨時連接,以及管理電動汽車充電站。這21個新漏洞有可能導致重要通訊中斷,從而影響日常生活。

閱讀部落格:Forescout Vedere Labs揭露21個影響OT/IoT路由器的新漏洞

Forescout Research進一步發現:

  • 攻擊面非常廣闊,目前仍有8.6萬台易受攻擊的路由器暴露在網路上。在這些路由器中,只有不到10%已確認針對2019年以來發現的已知過往漏洞安裝了修補程式。
  • 暴露裝置數量最多的地區包括:
    • 美國:68,605台裝置
    • 加拿大:5580台裝置
    • 澳洲:3853台裝置
    • 法國:2329台裝置
    • 泰國:1001台裝置
  • 在這21個漏洞中,1個為極其嚴重(CVSS得分為9.6),9個為高度嚴重,11個為中度嚴重。這些漏洞允許攻擊者竊取憑證,透過注入惡意程式碼控制路由器。這些漏洞在裝置上持續存在,並將路由器作為進入關鍵網路的初始接取點。
  • 安裝修補程式並不能解決所有問題。90%暴露於特定管理介面的裝置已達到報廢年限,這意味著無法再安裝修補程式。
  • 確保供應鏈組件安全是一場艱苦的戰鬥。開放原始碼軟體組件繼續未經檢查,增加了關鍵裝置的攻擊面,導致企業可能難以追蹤和緩解的漏洞。

Forescout Research – Vedere Labs研究副總裁Elisa Constante建議道:「我們今天敲響警鐘,因為仍有成千上萬的OT/IoT裝置在增加攻擊面,需要引起重視。影響關鍵基礎設施的漏洞就像一扇敞開的窗戶,讓每個社群的不良行為者可以隨意進出。國家支援的行動人士正在開發客製化惡意軟體,利用路由器進行持久性攻擊和間諜活動。網路犯罪分子也在利用路由器和相關基礎設施來設定住宅代理,並將其加入僵屍網路。我們的發現再次證明,有必要提高對經常被忽視的OT/IoT邊緣裝置的警覺。」

Sierra Wireless和OpenDNS已針對發現的漏洞發布了修補程式。TinyXML是一個已被放棄的開放原始碼專案,因此上游漏洞不會得到修復,必須在下游解決。

如欲瞭解更多資訊,請立即下載完整報告《SIERRA:21——生活在邊緣》,網址:https://www.forescout.com/resources/sierra21-vulnerabilities

其他資源:

關於 Forescout

全球網路安全領域的領導者Forescout Technologies, Inc.致力於辨識、保護並協助確保所有託管和非託管互聯網路資產(包括資訊科技(IT)、物聯網(IoT)、醫療物聯網(IoMT)和營運科技(OT)等類別)的合規性,從未懈怠。20多年來,Forescout提供獨立於廠商的大規模自動化網路安全,深受《財星》100大公司和政府機構的信賴。Forescout®平台具備網路安全、風險和曝險管理及擴大檢測和回應的全面性功能。它透過生態系統合作夥伴實現順暢上下文共享和工作流程編排,使客戶更有效率地管理網路風險,減輕威脅。

免責聲明:本公告之原文版本乃官方授權版本。譯文僅供方便瞭解之用,煩請參照原文,原文版本乃唯一具法律效力之版本。

Contacts

Steve Bosk
W2 Communications(代表Forescout)
forescout@w2comm.com

Carmen Harris
carmen.harris@forescout.com

Contacts

Steve Bosk
W2 Communications(代表Forescout)
forescout@w2comm.com

Carmen Harris
carmen.harris@forescout.com