Знаменитый конкурс для хакеров Pwn2Own, проходивший в этом году в Майами, принёс участникам 400 тысяч долларов за разработку и демонстрацию 26 эксплойтов, которые потенциально могут использоваться в атаках на продукты АСУ ТП и SCADA.
В ходе исследований специалисты пытались атаковать целый спектр категорий: командный сервер, сервер OPC UA, шлюз к данным и человеко-машинный интерфейс (Human-Machine Interface, HMI).
«Всем ещё раз огромное спасибо, что приняли участие в Pwn2Own. Также выражаем благодарность вендорам за сотрудничество и за устранение уязвимостей, выявленных специалистами», — объявили организаторы конкурса.
К слову, вендорам дали 120 дней на выпуск патчей, по истечении которых представители Trend Micro Zero Day Initiative (ZDI) раскроют технические подробности обнаруженных багов.
Победителями конкурса стали Даан Кёпер (@daankeuper) и Таис Алкемейд (@xnyhps) из Computest Sector 7 (@sector7_nl). В первый день они заработали 20 тысяч долларов после того, как выполнили код на сервере SCADA Inductive Automation Ignition с помощью бреши в процессе аутентификации.
Позже в этот же день они получили ещё $20 тыс. за уязвимость бесконтрольного поиска пути, которая привела к удалённому выполнению кода в софте AVEVA Edge HMI / SCADA. Второй день отметился для Computest Sector 7 успешной DoS-атакой на демосервер Unified Automation C++ (заработали $5000).
После этого команде удалось обойти проверку доверенных приложений в OPC Foundation OPC UA .NET, что принесло ей $40 000. Таким образом, Computest Sector 7 заняла первую строчку, за ней идёт Incite Team, а замыкает тройку лидеров Claroty Research.
*****
Trend Micro Zero Day Initiative (ZDI) в период с 19 по 21 апреля в Майами-Саут-Бич провели ежегодный Pwn2Own Miami 2022.
По итогу мероприятия участники заработали 400 000 долларов США за демонстрацию 26 эксплойтов нулевого дня, нацеленных на продукты ICS и SCADA в нескольких производственных категориях: сервер управления, сервер унифицированной архитектуры OPC (OPC UA), шлюз данных и человеко-машинный интерфейс (HMI). В ходе первого выпуска Pwn2Own Miami на тему ICS в январе 2020 года участники показали 24 уникальные 0-day, заработав 280 000 долларов США.
Победителями Pwn2Own Miami 2022 стали Даан Кеупер и Тийс Алкемаде из Computest Sector 7.
В первый день хакеры заработали 20 000 долларов СШАА после выполнения кода на сервере управления Inductive Automation Ignition SCADA, используя уязвимость аутентификации. В тот же день участникам удалось проэкслуатировать уязвимость неконтролируемого пути поиска для удаленного выполнения кода (RCE) в программном обеспечении AVEVA Edge HMI/SCADA, заработав 20 000 долларов США.
На второй день Computest Sector 7 воспользовался бесконечным циклом, активировав состояние DoS в отношении Unified Automation C++ Demo Server, за что заработал 5000 долларов США.
Также команда обошла проверку надежных приложений в стандарте OPC Foundation OPC UA .NET и добавила еще 40 000 долларов в свой призовой фонд. По итогу они выиграли титул Master of Pwn, заработав в общей сложности 90 000 долларов за три дня конкурса и заняв первое место в таблице лидеров с 90 очками.
Теперь в распоряжении разработчиков и поставщиков систем 120 дней на выпуск исправлений, пока ZDI не раскроет их публично.
• Source: https://www.zerodayinitiative.com/blog/2022/4/14/pwn2own-miami-2022-results
В ходе исследований специалисты пытались атаковать целый спектр категорий: командный сервер, сервер OPC UA, шлюз к данным и человеко-машинный интерфейс (Human-Machine Interface, HMI).
«Всем ещё раз огромное спасибо, что приняли участие в Pwn2Own. Также выражаем благодарность вендорам за сотрудничество и за устранение уязвимостей, выявленных специалистами», — объявили организаторы конкурса.
К слову, вендорам дали 120 дней на выпуск патчей, по истечении которых представители Trend Micro Zero Day Initiative (ZDI) раскроют технические подробности обнаруженных багов.
Победителями конкурса стали Даан Кёпер (@daankeuper) и Таис Алкемейд (@xnyhps) из Computest Sector 7 (@sector7_nl). В первый день они заработали 20 тысяч долларов после того, как выполнили код на сервере SCADA Inductive Automation Ignition с помощью бреши в процессе аутентификации.
Позже в этот же день они получили ещё $20 тыс. за уязвимость бесконтрольного поиска пути, которая привела к удалённому выполнению кода в софте AVEVA Edge HMI / SCADA. Второй день отметился для Computest Sector 7 успешной DoS-атакой на демосервер Unified Automation C++ (заработали $5000).
После этого команде удалось обойти проверку доверенных приложений в OPC Foundation OPC UA .NET, что принесло ей $40 000. Таким образом, Computest Sector 7 заняла первую строчку, за ней идёт Incite Team, а замыкает тройку лидеров Claroty Research.
*****
Trend Micro Zero Day Initiative (ZDI) в период с 19 по 21 апреля в Майами-Саут-Бич провели ежегодный Pwn2Own Miami 2022.
По итогу мероприятия участники заработали 400 000 долларов США за демонстрацию 26 эксплойтов нулевого дня, нацеленных на продукты ICS и SCADA в нескольких производственных категориях: сервер управления, сервер унифицированной архитектуры OPC (OPC UA), шлюз данных и человеко-машинный интерфейс (HMI). В ходе первого выпуска Pwn2Own Miami на тему ICS в январе 2020 года участники показали 24 уникальные 0-day, заработав 280 000 долларов США.
Победителями Pwn2Own Miami 2022 стали Даан Кеупер и Тийс Алкемаде из Computest Sector 7.
В первый день хакеры заработали 20 000 долларов СШАА после выполнения кода на сервере управления Inductive Automation Ignition SCADA, используя уязвимость аутентификации. В тот же день участникам удалось проэкслуатировать уязвимость неконтролируемого пути поиска для удаленного выполнения кода (RCE) в программном обеспечении AVEVA Edge HMI/SCADA, заработав 20 000 долларов США.
На второй день Computest Sector 7 воспользовался бесконечным циклом, активировав состояние DoS в отношении Unified Automation C++ Demo Server, за что заработал 5000 долларов США.
Также команда обошла проверку надежных приложений в стандарте OPC Foundation OPC UA .NET и добавила еще 40 000 долларов в свой призовой фонд. По итогу они выиграли титул Master of Pwn, заработав в общей сложности 90 000 долларов за три дня конкурса и заняв первое место в таблице лидеров с 90 очками.
Теперь в распоряжении разработчиков и поставщиков систем 120 дней на выпуск исправлений, пока ZDI не раскроет их публично.
• Source: https://www.zerodayinitiative.com/blog/2022/4/14/pwn2own-miami-2022-results
Последнее редактирование:
