工業網絡安全公司Dragos發布了一份針對工業控制系統（ICS）和操作技術（OT）系統漏洞利用態勢的白皮書。這個題為《考查ICS/OT漏洞利用：從超過十年的數據中洞察》的報告表示，這些發現可以幫助防御者優先考慮補救和緩解措施。在過去的十年里，Dragos一直在跟蹤超過3000多個ICS/OT漏洞，不出所料，此類漏洞的披露呈上升趨勢。

　　概述

　　報告共有5部分，首先是概要總結；其次是對公開的ICS/OT漏洞利用的定義；第三部分對研究的數據集進行說明；核心的第四部分，首先介紹為什么要對公開的ICS/OT漏洞給予重視，接著是漏洞公開趨勢，受影響的廠商，按Purdue模型統計各層漏洞數量（影響的漏洞利用和不受影響的漏洞利用），漏洞利用工具/程序作者的情況，第一個公開發布的漏洞利用的時間，在野利用情況；最后兩部分是結論建議。

　　Dragos目前跟蹤了自2010年以來發布的超過3000個cve（常見漏洞和暴露），這些漏洞影響工業控制系統和操作技術（ICS/OT）網絡。在這些cve中，超過400個具有公開的漏洞利用程序。

　　漏洞利用是一種工具，它允許對手繞過軟件或硬件中的安全邊界。漏洞利用有很多種形式。漏洞利用可以是curl命令、URI、HTTP數據塊，甚至是合理的書面描述。Dragos認為，任何允許低技能的對手在知情的情況下迅速繞過安全邊界的行為都是一種漏洞利用。

　　某些漏洞有多個公開的利用程序，這導致Dragos跟蹤近600個公開的ICS/OT漏洞利用。公開的漏洞利用大大降低了利用漏洞所需的技能和努力。正如普渡模型所描述的那樣，Dragos跟蹤的公開漏洞利用程序影響到工業環境的每一個層面，為對手提供了能夠通過ICS網絡滲透和傳播的預打包工具。在ICS網絡上惡意使用公開的漏洞利用并不是理論上的。Dragos跟蹤多個使用公開漏洞利用的威脅行為組織（AG）。

　　Dragos跟蹤的公開ICS/OT漏洞利用是由數百人開發的。它們影響著一百多個供應商開發的產品，而且它們對工業流程的影響是全方位的。利用這些漏洞的知識，然后使用報告中的指南，將幫助ICS操作人員更好地確定需要修復哪些漏洞。

　　自2007年至2021年公開的ICS/OT漏洞利用數量統計

　　2020年披露的漏洞數量低于前兩年。然而，比漏洞數量更重要的是確定哪些漏洞對組織構成真正的風險，在評估它們構成的風險時，有幾個因素應該考慮進去。

　　關鍵的發現

　　Dragos不僅一直在跟蹤漏洞的披露，而且還跟蹤相關漏洞的公開可利用性，公開可利用性使得低技能的威脅行為者更容易利用安全漏洞。

　　該公司指出，在2020年披露的漏洞中，只有8%是公開可利用漏洞。一種可能的解釋是，趨勢科技的零日倡議（ZDI）獲得了許多ICS漏洞，而ZDI可以阻止研究人員公開他們的漏洞概念驗證（PoC）。

　　ZDI收購了許多ICS漏洞，這也可以解釋為什么在2020年披露的漏洞更少——ZDI有一個120天的披露政策，這通常是延長的，這使得在2020年發現的漏洞可能只在2021年披露。

　　Dragos知道有近600個針對110多個供應商產品的公開的ICS漏洞利用。然而，七家主要供應商占據了所有已公布的漏洞利用的40%左右，包括Advantech、羅克韋爾自動化及其艾倫-布拉德利品牌、Moxa、微軟、西門子和施耐德電氣。微軟也在這個列表之中，因為許多ICS/OT系統運行在Windows之上，并且由于Windows漏洞而暴露在攻擊之下。

　　許多公開的ICS漏洞利用瞄準了“現場操作”級別的目標設備，這可以作為進入工業網絡的初始接入點。一旦惡意行為者到達工業網絡（包括現場、控制和監控設備），他們就可以使用數百種公開可用的漏洞利用程序。

　　在Purdue模型各層上漏洞利用的數量統計

　　對于大多數級別的訪問，遠程代碼執行是最有可能的影響，但拒絕服務（DoS）在針對控制設備的攻擊中起主導作用。對于這個級別上的控制器和其他設備，DoS漏洞利用可能更容易開發，與遠程代碼執行相比，它在現實世界環境中可能有更大的影響。

　　Dragos指出，某些類型的漏洞不太可能被用于真正的攻擊。例如，針對可編程邏輯控制器（PLC）的跨站請求偽造（CSRF）和跨站腳本（XSS）漏洞利用。

　　例如，針對PLC的[CSRF]不太可能在野外使用，因為它要求受害者登錄到PLC的web界面，并導航到一個惡意網站（或點擊一個惡意鏈接）。它還要求攻擊者能夠制作指向受害者PLC的url。這是不太可能發生的情況，“報告中解釋道。

　　至于是誰公開了這些漏洞利用，Dragos發現，在近一半的情況下，漏洞利用程序的作者隸屬于一家公司或大學。占到一半以上的三家公司是Rapid7（通過Metasploit項目）、思科的Talos研究和情報部門以及Tenable公司。

　　大約有三分之一的漏洞利用在第三方的建議中可用，其次是Metasploit, exploit - db漏洞數據庫，個人GitHub或Bitbucket存儲庫，以及各種其他來源，如Twitter，白皮書，bug trackers, Full Disclosure, and Packet Storm。

　　在許多情況下，研究人員在公開他們發現的漏洞以幫助其他人更好地理解他們的工作時，就會釋放漏洞的PoC。如果這些漏洞利用沒有被考慮在內，Dragos確定漏洞被披露后，漏洞利用被公開的平均時間是24天。

　　”ICS/OT網絡防御者可以合理地預期，平均而言，如果某個CVE出現公開的漏洞利用，那么它是在該漏洞首次披露后的30天內發布，“Dragos說。

　　網絡安全公司跟蹤的ICS漏洞利用中，大約有10%被惡意攻擊者利用，而針對企業和站點運營水平的比例最高。針對站點操作的攻擊對攻擊者來說是有利可圖的，因為他們可以通過使用合法的功能來控制較低級別的設備，例如監視和控制設備，而不需要利用漏洞。

　　在Purdue模型各層上ICS/OT相關CVE被主動利用的統計（2010-2021年）

　　建議

　　有關ICS/OT公開的漏洞利用世界在過去十年一直很活躍，并將繼續如此。許多個人和組織正在積極開發這些影響ICS/OT的漏洞利用，其中有一小部分是在野外被使用的。然而，發布的ICS/OT漏洞利用如此之多，以至于每隔幾個月左右，就會有一個漏洞利用被威脅行為者采用并在野外使用，這是合理的。因此，必須跟蹤公開的漏洞利用，以幫助確定應該糾正或緩解哪些漏洞。

　　Dragos對尋求優先補救ICS漏洞的防守者提出了四個主要建議。

　　首先，他們應該考慮到漏洞利用通常會在30天內被公開，那些沒有在30天內得到攻擊的人可能有較低的優先級。

　　第二，漏洞的來源也很重要，因為研究人員披露的安全漏洞更有可能有該利用的PoC。

　　第三個建議，與漏洞利用的潛在影響有關——如果它只影響OT網絡，并且需要用戶交互或中間人的位置，那么它可以不被優先考慮。

　　最后，在監視和控制級別上影響設備的漏洞不應該被完全忽視，因為組織通常在這些級別上沒有很好的可視性，無法知道這類漏洞利用是否被用于惡意攻擊。