研究显示修复SCADA缺陷的平均时间是150天

趋势科技和ZDI公司发布的指出，SCADA系统尤其是HMI是恶意攻击者青睐的目标，而厂商要修复这类产品中的漏洞平均用时150天。

周二发布的这份报告基于对ICS-CERT和ZDI在2015年至2016年期间记录的数百个漏洞分析。研究人员指出，攻击者攻击SCADA系统的HMI出于多种原因。由于HMI是管理工业系统包括关键基础设施的一个关键组件，因此它能够提供访问复杂攻击中高价值信息的权限。

一旦攻陷HMI，攻击者还能给SCADA设备造成物理损害。另外，恶意攻击者能利用HMI禁用旨在告警运营人员出现危险配置或值的警报和通知。

由于HMI通常是基于Windows而非web的app，因此漏洞如XSS和CSRF并不常见，最近两年常见的缺陷跟缺乏验证/授权和弱默认配置 (23%)、内存损坏问题 (20%)、凭证管理漏洞 (19%) 和代码注入 (9%) 有关。

从漏洞披露到补丁发布的平均时间在过去四年中的变化并不大。虽然有些厂商设法在漏洞披露的一周内修复了SCADA漏洞，但2015年至2016年平均花费的时间是150天。

专家指出某些规模更小的厂商如Cogent实时系统和Trihedral工程公司修复漏洞的速度更快，而大型公司如ABB和BE修复漏洞的平均时间超过220天。

跟其它行业相比，SCADA厂商在修复漏洞的速度方面跟网络安全公司相差无几。流行软件厂商如微软、苹果、甲骨文和Adobe的漏洞响应时间少于120天，而商业软件开发公司的响应时间要慢得多，平均为189天。

趋势科技的报告中还包含了对影响SCADA系统的漏洞类型案例研究。内存损坏漏洞的案例研究说明了Advantech WebAccess HMI中的缓冲溢出漏洞，它可被利用通过权限升级执行任意代码。凭证管理问题包括硬编码密码和保护不足的凭证问题，趋势科技分享了对GE的MDS PulseNET产品分析。案例研究还包含了Cogent DataHub中的代码注入问题、Advantech WebAccess和西门子SINEMA服务器的验证和授权缺陷问题。

本文由360代码卫士编译，不代表360观点，转载请注明“转自360代码卫士www.codesafe.cn”。