近日,由趋势科技(ZDI)团队主办的2022迈阿密黑客大赛落幕。参赛团队发现了26个零日漏洞,赢得了40万美元的奖金。
本次比赛的主题是工控系统(,ICS),来自荷兰的两位黑客获得了世界破解大师()奖。他们告诉《麻省理工科技评论》,这是他们参加过的最简单的比赛,因为工控系统有太多易得的成果,这是一个安全性落后很多的领域。
本次比赛以工业控制系统为主题,分为控制服务器、开放平台通信统一架构()服务器、数据网关和人机界面四大类。其中,控制服务器是指可以用来控制各种可编程逻辑控制器和其他现场系统的服务器,其攻击目标是InductiveAutomationIgnition。
OPCUA是一个集成了所有OPCClassic规范的框架,作为ICS的通用翻译协议,出现在几乎所有的ICS产品中,负责不同厂商的系统之间的数据传递。它的攻击目标是UnifiedAutomatic Demo Server,OPCFoundationOPCUA。NETStandard、ProsysOPCUSSDKforJava和SoftingSecureIntegrationServer。
网关专用于连接不同协议的设备,攻击目标为trianglemicroworkscadadatagateway和KepwareServer人机接口是指允许工业系统操作员访问各种ICS硬件组件的接口,其攻击目标是AVEVAEdge和施耐德电气经济结构操作员终端专家。
其中控制服务器IconicsGenesis64和人机界面AVEVAEdge成功抓取6次。针对IconicsGenesis64的攻击都可以远程执行任意程序,其中三种攻击利用了零日漏洞。针对AVEVAEdge的成功攻击还可以执行远程程序,4次攻击利用了零日漏洞。
大赛主持人DustinChilds指出,工业控制系统的许多漏洞在10到15年前就已经出现在企业软件中,他很惊讶在IconicsGenesis64中看到如此多不同的漏洞。
冠军之一的Keuper在2012年的Pwn2Own比赛中成功黑进了iPhone,还和同伴Alkemade一起在2018年黑进了Foss使用的车载信息系统。他认为黑进iPhone不同于黑进ICS,因为苹果的操作系统不断更新,消费者频繁更换手机,但经常出现在重大基础设施中的ICS可能已经用了几十年。因为不容易重启,所以很少进行安全更新,需要在ICS中引入新的安全设计。
本文链接:http://www.slxf119.com/18296.html 转载需授权!
网友评论