跳到主要内容

评论:数百万未打补丁的物联网,OT设备威胁着关键基础设施

由...出版
世界管道,


据报道,成千上万的组织仍然受到URGENT / 11和CDPwn漏洞集合的威胁,这些漏洞分别影响运营技术(OT)装置和物联网(IoT)。研究人员说,不幸的是,普遍缺少补丁。据Armis的研究人员称,尽管在2019年发布了修复程序,但受URGENT / 11影响的OT设备中仍有高达97%尚未打补丁。

URGENT / 11是11个不同漏洞的集合,这些漏洞可能会利用Wind River影响任何已连接的设备’包含IPnet堆栈的VxWorks(可从Wind River获得CVE)。 VxWorks是一种实时操作系统(RTOS),第三方硬件制造商已将其嵌入到工业,医疗和企业环境中的20亿多个设备中。

受影响的设备,包括来自施耐德电气和罗克韦尔自动化的可编程逻辑控制器,通常用于生产和制造环境中,以执行各种关键任务任务,例如监视和控制操作各种仪器(例如,电动机,阀门,泵的物理设备)等)。

URGENT / 11影响使用支持IPnet TCP / IP堆栈的六个附加实时操作系统(RTOS)的设备,包括ENEA的OSE,Green Hills的Integrity,Microsoft的ThreadX,Mentor的Nucleus RTOS,TRON论坛的ITRON和ZebOS的设备。 IP注入。这一新发现将URGENT / 11的影响范围扩展到了数以百万计的其他医疗,工业和企业设备。

Synopsys软件完整性集团首席安全顾问Michael Fabian对此发表评论说:“’对基础架构系统进行更改所涉及的不仅仅是简单地安排更新和重新启动。虽然URGENT / 11补丁已于2019年交付,但我们’看到尚未进行认证和调整,变更管理以及对系统进行风险评估的供应商和最终用户都做出了一系列努力。应该指出的是,这些变化并没有’t happen overnight – 要么 even over weeks.

“从一个行业到另一个行业,或者从一个系统到另一个系统,这变得更加复杂。供应商需要确保其设备运行在更新的实时操作系统(RTOS)上,并且其中包括大量的故障和状态测试。–包括技术债务/可行性估算,以及工程组织必须考虑的许多其他方面。一旦那个’已经完成,并且各种小部件已经更新,现在您需要在其必需的系统中更新该小部件的每个应用程序。

“集成商和系统供应商在这一点上发挥了作用。他们必须考虑这些小部件的单个部署如何与应用的更改一起工作,以及如何将计划的更新发布给最终用户。如您所见,在最后那天’比简单地发布更新要复杂得多。这需要时间和金钱–谁为补丁付费,这是设备供应商,集成商和最终用户之间必须考虑的另一个领域。”

Read the 文章 online at: //www.cqfcyy.com/equipment-and-safety/17122020/comment-millions-of-unpatched-iot-ot-devices-threaten-critical-infrastructure/

你可能还喜欢

 
 

嵌入文章链接: (复制下面的HTML代码):