Las revelaciones de vulnerabilidad que afectan a los dispositivos IoT aumentaron un 57% en la primera mitad (1H) de 2022 en comparación con los seis meses anteriores, según una nueva investigación publicada hoy por Claroty, la empresa de protección de sistemas ciberfísicos. El informe State of XIoT Security Report: 1H 2022 también encontró que durante el mismo período de tiempo, las auto-revelaciones de los proveedores aumentaron en un 69%, convirtiéndose en informantes más prolíficos que los conjuntos de investigación independientes por primera vez, y las vulnerabilidades de firmware total o parcialmente remediadas aumentaron en un 79%, una mejora notable dados los desafíos relativos en el parcheo de las vulnerabilidades de firmware frente a las de software.
Compilado por Team82, el galardonado equipo de investigación de Claroty, el informe es un profundo examen y análisis de las vulnerabilidades que afectan a la Internet de las Cosas Extendida (XIoT), una vasta red de sistemas ciberfísicos que incluye la tecnología operativa y los sistemas de control industrial (OT/ICS), la Internet de las Cosas Médicas (IoMT), los sistemas de gestión de edificios y la IoT empresarial. El conjunto de datos comprende vulnerabilidades descubiertas por Team82 y de fuentes abiertas de confianza, como la Base de Datos Nacional de Vulnerabilidades (NVD), el Equipo de Respuesta a Ciberemergencias de Sistemas de Control Industrial (ICS-CERT), CERT@VDE, MITRE y los proveedores de automatización industrial Schneider Electric y Siemens.
"Después de décadas de conectar cosas a Internet, los sistemas ciberfísicos están teniendo un impacto directo en nuestras experiencias en el mundo real, incluyendo los alimentos que comemos, el agua que bebemos, los ascensores en los que viajamos y la atención médica que recibimos", dijo Amir Preminger, vicepresidente de investigación de Claroty. "Llevamos a cabo esta investigación para dar a los responsables de la toma de decisiones dentro de estos sectores críticos una instantánea completa del panorama de la vulnerabilidad de la XIoT, empoderándolos para evaluar, priorizar y abordar adecuadamente los riesgos para los sistemas de misión crítica que sustentan la seguridad pública, la salud de los pacientes, las redes inteligentes y los servicios públicos, entre otros."
Conclusiones principales
- Dispositivos IoT: El 15% de las vulnerabilidades se encontraron en dispositivos IoT, un aumento significativo desde el 9% en el último informe de Team82 que cubría la segunda mitad (2H) de 2021. Además, por primera vez, la combinación de vulnerabilidades de IoT e IoMT (18,2%) superó las vulnerabilidades de TI (16,5%). Esto indica una mayor comprensión por parte de los vendedores e investigadores para asegurar estos dispositivos conectados, ya que pueden ser una puerta de entrada a una penetración más profunda en la red.
- Autodeclaraciones de los proveedores: Por primera vez, las autodeclaraciones de los proveedores (29%) han superado a los equipos de investigación independientes (19%) como segundo informador de vulnerabilidades más prolífico, después de las empresas de seguridad de terceros (45%). Las 214 CVE publicadas casi duplican el total de 127 del informe del segundo semestre de 2021 de Team82. Esto indica que más proveedores de OT, IoT e IoMT están estableciendo programas de divulgación de vulnerabilidades y dedicando más recursos que nunca a examinar la seguridad de sus productos.
- Firmware: Las vulnerabilidades de firmware publicadas estaban casi a la par con las de software (46% y 48% respectivamente), un enorme salto desde el informe del segundo semestre de 2021, cuando había casi una disparidad de 2:1 entre el software (62%) y el firmware (37%). El informe también reveló un aumento significativo de las vulnerabilidades de firmware total o parcialmente corregidas (40% en el primer semestre de 2022, frente al 21% en el segundo semestre de 2021), lo cual es notable dados los desafíos relativos en la aplicación de parches de firmware debido a los ciclos de actualización más largos y las ventanas de mantenimiento poco frecuentes. Esto indica el creciente interés de los investigadores por salvaguardar los dispositivos de los niveles inferiores del Modelo Purdue, que están más directamente conectados con el propio proceso y, por tanto, son un objetivo más atractivo para los atacantes.
- Volumen y criticidad: Por término medio, las vulnerabilidades del XIoT se publican y abordan a un ritmo de 125 al mes, alcanzando un total de 747 en el primer semestre de 2022. La gran mayoría tienen puntuaciones CVSS de gravedad crítica (19%) o alta (46%).
- Impactos: Casi tres cuartas partes (71%) tienen un alto impacto en la disponibilidad del sistema y del dispositivo, la métrica de impacto más aplicable a los dispositivos XIoT. El principal impacto potencial es la ejecución remota no autorizada de código o comandos (prevalente en el 54% de las vulnerabilidades), seguido de las condiciones de denegación de servicio (caída, salida o reinicio) con un 43%.
- Mitigación: La principal medida de mitigación es la segmentación de la red (recomendada en el 45% de las revelaciones de vulnerabilidad), seguida del acceso remoto seguro (38%) y la protección contra ransomware, phishing y spam (15%).
- Contribuciones de Team82: Team82 sigue liderando la investigación de vulnerabilidades de OT, habiendo revelado 44 vulnerabilidades en el primer semestre de 2022 y un total de 335 vulnerabilidades hasta la fecha.
(Claroty)
