从2021年下半年到2022年上半年，物联网漏洞披露增长了57%

Claroty‘s Team82发布的从年长XIoT安全状况报告：2022年上半年揭示了物联网漏洞、供应商自我披露以及完全或部分修复的下半固件漏洞的增加。

根据网络物理系统保护公司 Claroty 今天发布的年到年上新研究，与前六个月相比，半年影响物联网设备的物联网漏漏洞披露在 2022 年上半年 (1H) 增加了 57%。

XIoT 安全状况报告：1H 2022 还发现，洞披在同一时间段内，露增供应商的从年长自我披露增加了 69%，报告的下半数量首次超过了独立研究机构，完全或部分修复的年到年上固件漏洞增加了 79 个%，鉴于修补固件与软件漏洞的半年相对挑战，这是物联网漏一个显着的改进。

该报告由 Claroty 屡获殊荣的洞披研究团队 Team82 编写，深入研究和分析了影响扩展物联网 (XIoT) 的露增漏洞，这是从年长一个庞大的网络物理系统网络，包括运营技术和工业控制系统 (OT/ICS )、医疗物联网 (IoMT)、楼宇管理系统和企业物联网。该数据集包含 Team82 发现的免费信息发布网漏洞以及来自可信开源的漏洞，包括国家漏洞数据库 (NVD)、工业控制系统网络应急响应小组 (ICS-CERT)、CERT@VDE、MITRE 以及工业自动化供应商施耐德电气和西门子.

“在将事物连接到互联网数十年后，网络物理系统正在对我们在现实世界中的体验产生直接影响，包括我们吃的食物、喝的水、乘坐的电梯以及我们接受的医疗服务， ” Claroty 研究副总裁 Amir Preminger 说。

“我们开展这项研究是为了让这些关键领域的决策者对XIoT漏洞状况有一个完整的了解，使他们能够正确评估、优先处理和解决支撑公共安全、患者健康、智能电网和公用事业等的关键任务系统的风险。”

主要发现物联网设备：15% 的漏洞出现在物联网设备中，与 Team82 上一份涵盖 2021 年下半年 (2H) 的报告中的 9% 相比显着增加。此外，物联网和 IoMT 漏洞的云服务器提供商组合首次出现 (18.2%) ) 超过 IT 漏洞 (16.5%)。这表明供应商和研究人员加强了对保护这些连接设备的理解，因为它们可以成为更深入的网络渗透的门户。供应商自我披露：供应商自我披露 (29%) 首次超过独立研究机构 (19%)，成为仅次于第三方安全公司 (45%) 的第二大漏洞报告者。发布的 214 个 CVE 几乎是 Team82 2H 2021 报告中的 127 个总数的两倍。这表明越来越多的 OT、IoT 和 IoMT 供应商正在建??立漏洞披露程序，并投入更多资源来检查其产品的安全性和安全性。固件：已发布的固件漏洞与软件漏洞几乎持平（分别为 46% 和 48%），与 2H 2021 报告相比大幅跃升，当时软件 (62%) 和固件 (37%) 之间的差距几乎为 2:1 .该报告还显示，完全或部分修复的固件漏洞显着增加（2022 年 1 月为 40%，高于 2021 年 2 月的 21%），鉴于更新周期较长和维护窗口不频繁，修补固件面临相对挑战，这一点值得注意。这表明研究人员对保护低级别 Purdue 模型的设备越来越感兴趣，免费源码下载这些设备与流程本身更直接相关，因此对攻击者来说更有吸引力。数量和严重性：平均而言，XIoT 漏洞以每月 125 个的速度发布和解决，到 2022 年上半年达到 747 个。绝大多数的 CVSS 得分为严重 (19%) 或高严重性 (46%) ）。影响：近四分之三 (71%) 对系统和设备可用性有很大影响，这是最适用于 XIoT 设备的影响指标。主要的潜在影响是未经授权的远程代码或命令执行（在 54% 的漏洞中普遍存在），其次是拒绝服务条件（崩溃、退出或重启），占 43%。缓解措施：首要缓解措施是网络分段（在 45% 的漏洞披露中建议使用），其次是安全远程访问 (38%) 和勒索软件、网络钓鱼和垃圾邮件防护 (15%)。Team82 贡献：Team82 继续在 OT 漏洞研究方面处于领先地位，在 1H 2022 中披露了 44 个漏洞，迄今为止共披露了 335 个漏洞。