大手笔鼓励挖掘ICS和相关协议漏洞,Pwn20wn的“新业务”想传达什么?
自2007年以来,Pwn20wn便鼓励参赛者,以广泛使用的软件和具有未知漏洞的设备作为挑战项目,挖掘尚未被发现的威胁以及0Day,而动辄上万美金的奖励,更使得这一活动成为网络安全行业的风向标式的存在。
与以往不同,今年的Pwn20wn从关注浏览器和操作系统扩展到了新领域,这其中就包括工业互联网安全。
大手笔扶持“新业务”
今年大会,Pwn20wn新增了关于发现ICS和相关协议中缺陷的比赛项目,并且对该项目提供了超过250000美元的悬赏,可以称得上是大手笔了。
“和其他竞赛一样,Pwn20wn试图通过揭示漏洞并将研究结果提供给供应商来强化这些平台”, Pwn20wn组织者、零日计划(ZDI)发起人Brian Gorenc在周一的帖子中说。
雷锋网了解到,Pwn2Own Miami为以下五个ICS类别的漏洞提供了各种奖励:
1、控制服务器解决方案,可在不同的可编程逻辑控制器(PLC)之间提供连接,监视和控制,该PLC监视输入和输出并为自动化系统做出基于逻辑的决策。
2、OPC统一体系结构服务器实际上是“ ICS体系中的通用转换器协议”,它将各种OPC Classic规范背后的功能集成到一个可扩展的框架中。
3、DNP3,在ICS系统的各个组件之间使用的一组通信协议(北美电网中的主要协议)。
4、人机界面(HMI)/操作员工作站,可将机器操作员连接到工业控制系统的各种硬件组件。
5、工程工作站软件,可以直接通信并可以配置PLC等主要控制设备,还可以配置基于角色的机制。
黑客将可以专注于特定设备来发现各种漏洞,包括未经身份验证的崩溃或拒绝服务漏洞,信息泄露故障和远程执行代码漏洞。
不想挣大钱的黑客不是好选手,哪个项目给的赏金最多?
答案是:远程执行代码漏洞。
假设黑客在Iconics Genesis64(控制服务器)或Triangle Microworks SCADA数据网关(DNP3网关)等产品中找到这些漏洞,将获得最高20000美元的奖金。
如果选手更推崇以少积多的打法,那么了解其他项目的赏金金额也是很有必要的:
据零日计划倡议组织透露,本届Pwn2Own大会将在明年(1月21日至1月23日)在迈阿密举行的S4会议上举行。
Pwn20wn想传达什么?
Pwn20wn大手笔扶持“新业务”开展,并非只是人傻钱多的表现。
在过去一年里,由于黑客攻击事件造成的停水、停电等造成大面积负面影响的实例不在少数。
2019年2月,罗克韦尔自动化的工业控制应用的电能计量设备Allen-Bradley PowerMonitor 1000被发现存在两个漏洞。
一个跨站脚本漏洞可以让远程攻击者将任意代码注入目标用户的Web浏览器以获取对受影响设备的访问权限;另一个身份验证绕过漏洞,可以允许远程攻击者使用代理来启用通常对具有Web应用程序管理权限的人员可用的功能。绕过身份验证后,攻击者可以更改用户设置和设备配置。
2019年8月,安全公司 McAfee 的研究人员率先发现楼宇综合管理系统 (BMS)存在漏洞。
该漏洞影响 enteliBUS Manager(个用于管理不同 I / O 开关的控制系统),这些不同的 I / O 开关通常是连接到传感器、报警器、电机、锁、阀门和其他工业设备等物体。
卡巴斯基(Kaspersky)最近的一份报告显示,仅在2018年上半年,至少有41.2%的工业控制系统受到恶意软件的攻击,这进一步证实此类情况的出现并非小概率事件。由此来看,今年Pwn2Own对ICS的新关注也就不足为奇。
Tenable战略计划高级主管Eitan Goldstein称:“随着IT和OT(运营技术)领域的融合,关键基础设施面临的威胁只会增加,将ICS扩展到黑客竞赛是一项值得的举措。它显示出人们越来越多的意识到ICS存在的漏洞,以及将成熟的安全实践扩展到OT环境中的重要性日益增加。”
参考链接: threatpost
更多精彩文章请关注雷锋网网络安全栏目或雷锋网 (公众号:雷锋网) 微信公众号宅客频道。
。