Problemas de interoperabilidad, dificultades a la hora de gestionar los tiempos de actividad y sistemas obsoletos hacen que sea un reto tratar las vulnerabilidades de los entornos industriales. La empresa SynSaber aporta datos de la situación en su segundo Industrial Control Systems (ICS) Vulnerabilities & CVEs Report.
La compañía ha analizado 900 CVE asociados a los ICS, los sistemas de control industrial, en la segunda mitad de 2022 para descubrir que un 35% no tienen parches o remediación disponible. Además, solo el 56 % de los CVE han sido reportados por el fabricante de equipamiento original, mientras que el 43 % han sido presentados por proveedores de seguridad e investigadores independientes.
El informe también recoge que el 28 % de los CVE requieren acceso local o físico al sistema para explotar el fallo, frente al 23 % de la primera mitad de 2022. De manera más concreta, 104 de los 926 fallos examinados (11,23 %) requieren interacción local/física y del usuario para que la vulnerabilidad se explote con éxito; 230, o el 24,84 %, necesitan la interacción del usuario independientemente de la disponibilidad de la red.
Explica SynSaber en su informe que los retrasos en la disponibilidad de los parches se deben, en muchas ocasiones, a que “los proveedores de fabricantes de equipos originales (OEM) a menudo tienen estrictos procesos de prueba, aprobación e instalación de parches”, y añade que incluso cuando hay parches disponibles, los propietarios de activos de ICS pueden tener dificultades para actualizar los sistemas de manera oportuna. “Los operadores deben considerar la interoperabilidad y las restricciones de garantía a los cambios en todo el entorno, además de esperar el próximo ciclo de mantenimiento”, argumentó el informe.
En una nota más positiva, SynSaber afirmó que solo una quinta parte (22 %) de los CVE publicados en la segunda mitad de 2022 deberían tener prioridad para la aplicación de parches, frente al 41 % en los seis meses anteriores.
