工业控制系统漏洞报告

关键要点

• 工业控制系统（ICS）漏洞报告数量有所下降，但未修复漏洞比例上升。
• 高严重性漏洞主要影响制造和能源行业。
• 三菱电机和日立能源在漏洞发现中占据主要地位。
• 使用后释放漏洞和边界外读取漏洞是最常见的报告类型。

尽管根据的报道，网络安全和基础设施安全局（CISA）报告的工业控制系统（ICS）漏洞数量从2022年上半年681个下降至2023年上半年的670个，但同期未修复的ICS漏洞比例却从13%上升至大约34%。在2023年前六个月报告的绝大多数ICS漏洞都具有高严重性评级，其中制造和能源行业受到的影响尤为严重，这一点在SynSaber的报告中得到了证实。

根据该报告，三菱电机和日立能源分别在关键制造和能源领域中发现的大多数ICS漏洞中占据了主要位置。使用后释放漏洞是报告中最常见的漏洞类型，其次是边界外读取和输入验证不当的漏洞。SynSaber指出，关于ICS供应商产品的“永远日”漏洞仍然是一个问题，六份CISA通告中提到的“关键”严重性漏洞未得到更新、修补，没有硬件、软件或固件的更新，也没有已知的变通方法。

“永远日”漏洞是指那些供应商已停止支持的产品中存在的重大安全问题，这对运营安全构成了持续威胁。

漏洞类型 | 比例
—|—
使用后释放漏洞 | 高
边界外读取漏洞 | 中
输入验证不当 | 低

相关链接： |