登录

《2020年漏洞年报》发布,多款工控产品受影响

2021-01-26 09:04 来源:国家工业信息安全漏洞库(CICSVD)

2021年1月19日,国家工业信息安全漏洞库(CICSVD)发布《2020年工业信息安全漏洞态势年度简报》(以下简称《2020年漏洞年报》)。《2020年漏洞年报》立足于CICSVD收录和发布的漏洞数据,从漏洞总体情况、漏洞成因、受影响产品、单位贡献排名、重要安全漏洞告警等方面进行了重点分析。

1

2020年,CICSVD共收录工业信息安全漏洞2138个,环比上升22.2%。其中,通用型漏洞2045个,事件型漏洞93个,涉及335家厂商。

在收录的通用型漏洞中,超危漏洞379个,高危漏洞899个,高危及以上漏洞占比62.5%。危害程度较高的漏洞有:Treck TCP/IP stack 多个安全漏洞、SchneiderElectric Easergy T300 认证绕过漏洞、WAGO公司I/O-CHECK工业软件缓冲区错误漏洞、ABB Relion 670 Series 路径遍历漏洞等。

2

在漏洞成因分析方面,共涉及31种漏洞成因类型,其中缓冲区错误、输入验证错误、授权问题、资源管理错误、拒绝服务分列前五位。

5

 

在受影响产品分类方面,受影响产品共涉及10个大类、66个小类。其中,工业主机设备和软件类、工业生产控制设备类、工业网络通信设备类分列大类的前三位,可编程逻辑控制器(PLC)、组态软件、工业路由器、数据采集与监控系统(SCADA)、工业软件分列小类的前五位。

3

4

 

在受影响产品厂商分析方面,主要涉及德国西门子(Siemens)公司、法国施耐德电气(Schneider Electric)公司、中国台湾研华科技(Advantech)公司、中国台湾摩莎(Moxa)公司、瑞士ABB公司等335家厂商,其中国外厂商占比66.2%,我国厂商占比33.8%。

2020年工业信息安全漏洞态势年度简报-6

全年共有22家单位积极向CICSVD报送漏洞,为建立健全工业信息安全漏洞发现、上报、分析和处置的工作机制,提高我国工业信息安全漏洞研究、风险防范及应对能力,提升我国工业信息安全防护整体水平做出重要贡献。

此外,为反映工业信息安全漏洞整体态势,2020年,CICSVD公开发布漏洞、补丁、新闻等风险预警信息5800余条,工业信息安全态势月报12期,为有关各方了解我国工业信息安全漏洞整体态势提供参考。

相关新闻

编辑精选