近日,由趋势科技旗下零日行动(ZDI)团队主办的2022年迈阿密Pwn2Own黑客大赛落下帷幕。
参赛队伍发现了26个零日漏洞,赢得了40万美元的奖金。免费帮人的黑客联系方式微信。
本次大赛的主题是工业控制系统(Industrial Control Systems,ICS),来自荷兰的两名黑客Daan Keuper和Thijs Alkemade获得了世界破解大师奖。
库珀告诉《麻省理工学院科技评论》,这是他们参加过的最简单的比赛,因为工业控制系统中容易获得的成果太多了,而这是一个安全落后得多的领域。
本次比赛以工业控制系统为主题,分为四个组别,包括。
其中,控制服务器是指可用于控制各种可编程逻辑控制器等现场系统的服务器,其攻击目标是Iconics Genesis64和Inductive Automation Ignition。
OPC UA是一个集成了所有OPC Classic规范的框架,作为ICS的通用翻译协议,出现在几乎所有的ICS产品中,负责不同供应商的系统之间的数据传输。
攻击目标是统一自动化C++演示服务器、OPC Foundation OPC UA.NET标准版、Prosys OPC US SDK for Java和Softing Secure Integration Server。
该网关专用于连接不同协议的设备,其攻击目标是三角微工SCADA数据网关和Kepware Kepserver;人机界面是指让工业系统操作员访问各种ICS硬件组件的接口,其攻击目标是AVEVA Edge和施耐德电气Ecostrucxure操作员终端专家。
其中,控制服务器ICONICS Genesis64和人机界面AVEVA Edge被成功捕获6次。
以Iconics Genesis64为目标的攻击都可以远程执行任意程序,其中三个攻击利用了零日漏洞。
对AVEVA Edge的成功攻击还可以执行远程程序,其中四次攻击利用零日漏洞。
大赛主持人达斯汀·查尔兹指出,10到15年前,工控系统中的许多漏洞就出现在企业软件中,他惊讶地看到Iconics Genesis 64中有这么多不同的漏洞。
Keuper是冠军之一,他在2012年的Pwn2Own比赛中成功入侵了iPhone,并在2018年与同伴Alkemade一起入侵了FlowServe使用的车载信息系统。
他认为,黑进iPhone和黑进ICS是不同的,因为苹果的操作系统在不断更新,消费者频繁更换手机。