关键基础设施仍面临高风险:Forescout的研究聚焦21个新漏洞

.. 波及各种主流路由器,以及用于连接能源、医疗保健、交通运输和应急服务领域关键本地网络的开放原始码组件

加州圣荷西--(美国商业资讯)--全球网络安全领导者Forescout今天发布了《SIERRA:21——生活在边缘》(SIERRA:21 – Living on the Edge),分析了在OT/IoT路由器和开放原始码软件组件中新发现的21个漏洞。该报告由致力于发现关键基础设施漏洞的全球顶尖团队Forescout Research – Vedere Labs编写,强调了关键基础设施面临的持续风险,并揭示了可能的缓解措施。

本新闻稿包含多媒体资讯。完整新闻稿请见此: https://www.businesswire.com/news/home/20231205683808/zh-HK/

《SIERRA:21——生活在边缘》介绍了对Sierra Wireless AirLink蜂窝路由器及其一些开放原始码组件(如TinyXML和OpenNDS)的研究。Sierra Wireless路由器很受欢迎,一个Wi-Fi网络开放数据库显示,全球有24.5万个网络在各种应用中使用Sierra Wireless。例如,Sierra Wireless路由器用于警车与中央网络管理系统的连接或流式监控视讯、制造厂的工业资产监控、医疗设施的临时连接,以及管理电动汽车充电站。这21个新漏洞有可能导致重要通讯中断,从而影响日常生活。

阅读部落格:Forescout Vedere Labs揭露21个影响OT/IoT路由器的新漏洞

Forescout Research进一步发现:

  • 攻击面非常广阔,目前仍有8.6万台易受攻击的路由器暴露在网络上。在这些路由器中,只有不到10%已确认针对2019年以来发现的已知过往漏洞安装了修补程式。
  • 暴露装置数量最多的地区包括:
    • 美国:68,605台装置
    • 加拿大:5580台装置
    • 澳洲:3853台装置
    • 法国:2329台装置
    • 泰国:1001台装置
  • 在这21个漏洞中,1个为极其严重(CVSS得分为9.6),9个为高度严重,11个为中度严重。这些漏洞允许攻击者窃取凭证,透过注入恶意程式码控制路由器。这些漏洞在装置上持续存在,并将路由器作为进入关键网络的初始接取点。
  • 安装修补程式并不能解决所有问题。90%暴露于特定管理接口的装置已达到报废年限,这意味着无法再安装修补程式。
  • 确保供应链组件安全是一场艰苦的战斗。开放原始码软件组件继续未经检查,增加了关键装置的攻击面,导致企业可能难以追踪和缓解的漏洞。

Forescout Research – Vedere Labs研究副总裁Elisa Constante建议道:「我们今天敲响警钟,因为仍有成千上万的OT/IoT装置在增加攻击面,需要引起重视。影响关键基础设施的漏洞就像一扇敞开的窗户,让每个社群的不良行为者可以随意进出。国家支援的行动人士正在开发客制化恶意软件,利用路由器进行持久性攻击和间谍活动。网络犯罪分子也在利用路由器和相关基础设施来设定住宅代理,并将其加入僵尸网络。我们的发现再次证明,有必要提高对经常被忽视的OT/IoT边缘装置的警觉。」

Sierra Wireless和OpenDNS已针对发现的漏洞发布了修补程式。TinyXML是一个已被放弃的开放原始码专案,因此上游漏洞不会得到修复,必须在下游解决。

如欲了解更多资讯,请立即下载完整报告《SIERRA:21——生活在边缘》,网址:https://www.forescout.com/resources/sierra21-vulnerabilities

其他资源:

关于 Forescout

全球网络安全领域的领导者Forescout Technologies, Inc.致力于辨识、保护并协助确保所有托管和非托管互联网络资产(包括资讯科技(IT)、物联网(IoT)、医疗物联网(IoMT)和营运科技(OT)等类别)的合规性,从未懈怠。20多年来,Forescout提供独立于厂商的大规模自动化网络安全,深受《财星》100大公司和政府机构的信赖。Forescout®平台具备网络安全、风险和曝险管理及扩大检测和回应的全面性功能。它透过生态系统合作伙伴实现顺畅上下文共享和工作流程编排,使客户更有效率地管理网络风险,减轻威胁。

免责声明:本公告之原文版本乃官方授权版本。译文仅供方便了解之用,烦请参照原文,原文版本乃唯一具法律效力之版本。

请前往 businesswire.com 浏览源版本: https://www.businesswire.com/news/home/20231205683808/zh-HK/

CONTACT:

Steve Bosk
W2 Communications(代表Forescout)
forescout@w2comm.com

Carmen Harris
carmen.harris@forescout.com

Sierra:21资讯图表(来源:Forescout)


想在手机阅读更多周边设备资讯?下载【香港硅谷】Android应用
分享到Facebook
技术平台: Nasthon Systems