大手筆鼓勵挖掘ICS和相關協議漏洞Pwn2Own的“新業務”想傳達什麼?
自2007年以來,Pwn2Own便鼓勵參賽者,以廣泛使用的軟件和具有未知漏洞的設備作為挑戰項目,挖掘尚未被發現的威脅以及0Day,而動輒上萬美金的獎勵,更使得這一活動成為網絡安全行業的風向標式的存在。
與以往不同,今年的Pwn2Own從關注瀏覽器和操作系統擴展到了新領域,這其中就包括工業互聯網安全。
大手筆扶持“新業務”
今年大會,Pwn2Own新增了關於發現ICS和相關協議中缺陷的比賽項目,並且對該項目提供了超過250000美元的懸賞,可以稱得上是大手筆了。
“和其他競賽一樣,Pwn2Own試圖通過揭示漏洞並將研究結果提供給供應商來強化這些平台”, Pwn2Own組織者、零日計劃(ZDI)發起人Brian Gorenc在周一的帖子中說。
雷鋒網了解到,Pwn2Own Miami為以下五個ICS類別的漏洞提供了各種獎勵:
1、控制服務器解決方案,可在不同的可編程邏輯控制器(PLC)之間提供連接,監視和控制,該PLC監視輸入和輸出並為自動化系統做出基於邏輯的決策。
2、OPC統一體系結構服務器實際上是“ ICS體系中的通用轉換器協議”,它將各種OPC Classic規範背後的功能集成到一個可擴展的框架中。
3、DNP3,在ICS系統的各個組件之間使用的一組通信協議(北美電網中的主要協議)。
4、人機界面(HMI)/操作員工作站,可將機器操作員連接到工業控制系統的各種硬件組件。
5、工程工作站軟件,可以直接通信並可以配置PLC等主要控制設備,還可以配置基於角色的機制。
黑客將可以專注於特定設備來發現各種漏洞,包括未經身份驗證的崩潰或拒絕服務漏洞,信息洩露故障和遠程執行代碼漏洞。
不想掙大錢的黑客不是好選手,哪個項目給的賞金最多?
答案是:遠程執行代碼漏洞。
假設黑客在Iconics Genesis64(控制服務器)或Triangle Microworks SCADA數據網關(DNP3網關)等產品中找到這些漏洞,將獲得最高20000美元的獎金。
如果選手更推崇以少積多的打法,那麼了解其他項目的賞金金額也是很有必要的:
據零日計劃倡議組織透露,本屆Pwn2Own大會將在明年(1月21日至1月23日)在邁阿密舉行的S4會議上舉行。
Pwn2Own想傳達什麼?
Pwn2Own大手筆扶持“新業務”開展,並非只是人傻錢多的表現。
在過去一年裡,由於黑客攻擊事件造成的停水、停電等造成大面積負面影響的實例不在少數。
2019年2月,羅克韋爾自動化的工業控制應用的電能計量設備Allen-Bradley PowerMonitor 1000被發現存在兩個漏洞。
一個跨站腳本漏洞可以讓遠程攻擊者將任意代碼注入目標用戶的Web瀏覽器以獲取對受影響設備的訪問權限;另一個身份驗證繞過漏洞,可以允許遠程攻擊者使用代理來啟用通常對具有Web應用程序管理權限的人員可用的功能。繞過身份驗證後,攻擊者可以更改用戶設置和設備配置。
2019年8月,安全公司McAfee 的研究人員率先發現樓宇綜合管理系統(BMS)存在漏洞。
該漏洞影響enteliBUS Manager(個用於管理不同I / O 開關的控制系統),這些不同的I / O 開關通常是連接到傳感器、報警器、電機、鎖、閥門和其他工業設備等物體。
卡巴斯基(Kaspersky)最近的一份報告顯示,僅在2018年上半年,至少有41.2%的工業控制系統受到惡意軟件的攻擊,這進一步證實此類情況的出現並非小概率事件。由此來看,今年Pwn2Own對ICS的新關注也就不足為奇。
Tenable戰略計劃高級主管Eitan Goldstein稱:“隨著IT和OT(運營技術)領域的融合,關鍵基礎設施面臨的威脅只會增加,將ICS擴展到黑客競賽是一項值得的舉措。它顯示出人們越來越多的意識到ICS存在的漏洞,以及將成熟的安全實踐擴展到OT環境中的重要性日益增加。”