工业控制不安全在竞争期间阐述
第二版PWN2OWN迈阿密已经抛出了几十个以前未被发现的漏洞利用工业控制系统,赚取安全研究人员在该过程中支付400,000美元的支付。
PWN2OWN迈阿密遵循类似的格式,更建立黑客来自趋势科技零日的竞争对手,但围绕工业控制系统(IC)而不是计算机或移动设备的焦点不同。
在为期三天的活动结束时,大安凯尔珀(@daankeuper.)和Thijs alkemade(@xnyhps.)来自团队大量的部门7.被加冕的PWN大师90分和90,000美元。
其他研究人员和BUG赏金猎人在活动期间成功展示了工业控制平台中的先前未知的零点漏洞,组织者被誉为不合格的成功。
Dustin Childs,Trend Micro的ZDI计划的通信经理告诉每日swbeplay2018官网ig:“今年的比赛是展出展出的伟大研究的三天。我们为26美元的独特漏洞授予400,000美元。
“我们的首次式竞争奖励了280万美元,因此很高兴看到比赛成长 - 特别是由于大流行因延迟而延迟之后。”
开发了针对工业控制系统的各种聪明和微妙的攻击,并在活动期间展示。
在Web安全前beplay体育能用吗面,英国安全咨询公司研究总监SAM Thomas在Pentest,直接在第一天直接从Raps展示了认证旁路和一个反序列化难以实现代码执行的错误电感自动化点火SCADA控制软件平台。
据托马斯称,比赛对参与者来说是一个有价值的锻炼。
托马斯告诉每日swbeplay2018官网ig:“一如既往[它是一个有趣的目标的有趣竞赛。[我]幸运的是首先被绘制,但似乎没有很多关于这种特殊的目标的重复,这是有趣的,希望[我将]范围在明年找到别的东西。“
其他研究人员采用了各种其他平台,详细介绍run比赛由ZDI组成。
不要错过黑客我,我很名:Bug Bounty Hackathon Nets Security研究人员一夜之间10,000欧元
Childs说:“一个亮点是由Compositest团队在OPC Foundation OPC UA .NET标准中绕过可信应用程序检查的旁路。这虫子不仅有广泛的影响,它是我们在PWN2WOWEN活动中见过的最佳意见之一。“
“其他突出的其他人是Claroty Research用于对阵Kepware Kepserverex和Axel'0vercl0k'Socet使用的双无虫错误而用于iconcs genesis64的缓冲溢出,”他们补充说。
更广泛的ICS-LWN2OWN名册中的其他版本在作品中。趋势科技ZDI告诉每日swbeplay2018官网ig它希望通过说服更多的工业控制系统供应商更加密切地涉及活动背后的势头。
“我们看到了一些惊人的漏洞利用,我知道供应商在为他们披露的错误的工作开发修补程序已经很难开发出来的问题。”
“我们对今年看到的增长感到高兴,我们很乐意看到继续。理想情况下,我们可以在ICS / SCADA社区内与更多供应商合作,以确保我们拥有正确的目标,并在威胁行动者利用之前获得最佳错误。“
