Эксплоиты для АСУ ТП принесли хакерам более 400 000 долларов на Pwn2Own

25.04.2022
Эксплоиты для АСУ ТП принесли хакерам более 400 000 долларов на Pwn2Own

Завершилось хакерское состязание Pwn2Own Miami 2022, проходившее с 19 по 21 апреля.  Его участники заработали более 400 000 долларов, продемонстрировав 26 эксплоитов для уязвимостей нулевого дня в решениях ICS и АСУ ТП, сообщает Хакер.

На этот раз в рамках конкурса атаки исследователей были нацелены на несколько промышленных категорий: Control Server, серверы OPC Unified Architecture (OPC UA), Data Gateway, а также Human Machine Interface (HMI).

Напомню, что по правилам соревнования, после демонстрации уязвимостей во время Pwn2Own производителям дается 120 дней на выпуск патчей, а до истечения этого срока организаторы из Trend Micro Zero Day Initiative (ZDI) не раскрывают практически никаких деталей об обнаруженных багах.

Победителями Pwn2Own Miami 2022 стала команда Computest Sector 7, в которую вошли Даан Койпер (Daan Keuper, @daankeuper) и Тийс Алкемаде (Thijs Alkemade, @xnyhps).

В первый день соревнования они заработали 20 000 долларов, показав выполнение произвольного кода на сервере управления Inductive Automation Ignition SCADA и используя для этого уязвимость аутентификации. В тот же день они воспользовались уязвимостью типа uncontrolled search path для удаленного выполнения кода в AVEVA Edge HMI/SCADA, за что получили еще 20 000 долларов.

На второй день состязания Computest Sector 7 вызвали отказ в обслуживании (DoS) в Unified Automation C++ Demo Server, и заработали на этом еще 5000 долларов. Также во второй день Pwn2Own Miami 2022 команда сумела обойти проверку надежных приложений в стандарте OPC Foundation OPC UA .NET и добавила еще 40 000 долларов к заработанным средствам. 

В итоге Computest Sector 7 выиграли титул Master of Pwn, заработав в общей сложности 90 000 долларов и 90 очков, заняв первое место в таблице лидеров.


Популярные материалы