大手笔鼓励挖掘ICS和相关协议漏洞

上一篇 / 下一篇  2019-10-30 11:46:42 / 个人分类:Bug缺陷管理

    自2007年以来,Pwn2Own便鼓励参赛者,以广泛使用的软件和具有未知漏洞的设备作为挑战项目,挖掘尚未被发现的威胁以及0Day,而动辄上万美金的奖励,更使得这一活动成为网络安全行业的风向标式的存在。
  与以往不同,今年的Pwn2Own从关注浏览器操作系统扩展到了新领域,这其中就包括工业互联网安全。
  大手笔扶持“新业务”
  今年大会,Pwn2Own新增了关于发现ICS和相关协议中缺陷的比赛项目,并且对该项目提供了超过250000美元的悬赏,可以称得上是大手笔了。
  “和其他竞赛一样,Pwn2Own试图通过揭示漏洞并将研究结果提供给供应商来强化这些平台”, Pwn2Own组织者、零日计划(ZDI)发起人Brian Gorenc在周一的帖子中说。
  雷锋网了解到,Pwn2Own Miami为以下五个ICS类别的漏洞提供了各种奖励:
  1、控制服务器解决方案,可在不同的可编程逻辑控制器(PLC)之间提供连接,监视和控制,该PLC监视输入和输出并为自动化系统做出基于逻辑的决策。2、OPC统一体系结构服务器实际上是“ ICS体系中的通用转换器协议”,它将各种OPC Classic规范背后的功能集成到一个可扩展的框架中。3、DNP3,在ICS系统的各个组件之间使用的一组通信协议(北美电网中的主要协议)。4、人机界面(HMI)/操作员工作站,可将机器操作员连接到工业控制系统的各种硬件组件。5、工程工作站软件,可以直接通信并可以配置PLC等主要控制设备,还可以配置基于角色的机制。
  黑客将可以专注于特定设备来发现各种漏洞,包括未经身份验证的崩溃或拒绝服务漏洞,信息泄露故障和远程执行代码漏洞。
  不想挣大钱的黑客不是好选手,哪个项目给的赏金最多?
  答案是:远程执行代码漏洞。
  假设黑客在Iconics Genesis64(控制服务器)或Triangle Microworks SCADA数据网关(DNP3网关)等产品中找到这些漏洞,将获得最高20000美元的奖金。
  如果选手更推崇以少积多的打法,那么了解其他项目的赏金金额也是很有必要的:

   据零日计划倡议组织透露,本届Pwn2Own大会将在明年(1月21日至1月23日)在迈阿密举行的S4会议上举行。
  Pwn2Own想传达什么?
  Pwn2Own大手笔扶持“新业务”开展,并非只是人傻钱多的表现。
  在过去一年里,由于黑客攻击事件造成的停水、停电等造成大面积负面影响的实例不在少数。
  2019年2月,罗克韦尔自动化的工业控制应用的电能计量设备Allen-Bradley PowerMonitor 1000被发现存在两个漏洞。一个跨站脚本漏洞可以让远程攻击者将任意代码注入目标用户的Web浏览器以获取对受影响设备的访问权限;另一个身份验证绕过漏洞,可以允许远程攻击者使用代理来启用通常对具有Web应用程序管理权限的人员可用的功能。绕过身份验证后,攻击者可以更改用户设置和设备配置。2019年8月,安全公司 McAfee 的研究人员率先发现楼宇综合管理系统 (BMS)存在漏洞。该漏洞影响 enteliBUS Manager(个用于管理不同 I / O 开关的控制系统),这些不同的 I / O 开关通常是连接到传感器、报警器、电机、锁、阀门和其他工业设备等物体。
  卡巴斯基(Kaspersky)最近的一份报告显示,仅在2018年上半年,至少有41.2%的工业控制系统受到恶意软件的攻击,这进一步证实此类情况的出现并非小概率事件。由此来看,今年Pwn2Own对ICS的新关注也就不足为奇。
  Tenable战略计划高级主管Eitan Goldstein称:“随着IT和OT(运营技术)领域的融合,关键基础设施面临的威胁只会增加,将ICS扩展到黑客竞赛是一项值得的举措。它显示出人们越来越多的意识到ICS存在的漏洞,以及将成熟的安全实践扩展到OT环境中的重要性日益增加。”
 
      以上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8 052),我们将立即处理。
 
 
 
 
 
 
      了解更多课程内容及课程安排,可咨询QQ 2852509883 或致电客服 400-821-0951(工作日9:00-17:30)
【看这里】技术交流、拓展人脉、领取福利欢迎加入博为峰网校大课堂>>>

 


TAG:

 

评分:0

我来说两句

Open Toolbar