将于2020年1月份美国迈阿密 South Beach 举行的 Pwn2Own 黑客大赛首次涵盖工控 (ICS) 协议和软件。

2019年的Pwn2Own 大赛在加拿大温哥华举办,道德黑客团队曾参加当时新引进的车辆类别的入侵特斯拉 Model 3基于Chromium 的车载娱乐系统。

趋势科技公司指出,“2018年,和去年相比,ZDI 购买的 ICS 软件中的0day 漏洞增长了224%。2019年这种增长还在继续,证明了在系统遭利用前不断增长的漏洞识别和系统加固的需求。”

专注于 ICS 漏洞

虽然趋势科技 ZDI 此前增加了新类别,但2020年的Pwn2Own 竞赛将只关注 ICS 软件产品,以关注新兴威胁趋势。

因此,2020年的 Pwn2Own 大赛将包括如下五个类别:

  • Control Server(控制服务器)

  • OPC Unified Architecture (OPC UA) Server(OPC UA 服务器)

  • DNP3 Gateway(GNP3 网关)

  • Human Machine Interface (HMI)/Operator Workstation(人机界面/运营商工作站)

  • Engineering Workstation Software (工程工作站软件,EWS)

趋势科技漏洞研究的高级总监 Brian Gorenc 表示,“根据工业4.0和数字转型计划之下的 IT 和 OT 的融合,出现了可被用于破坏关键生产流程并窃取机密的知识财产的漏洞。我们希望通过扩展长期的 Pwn2Own 大赛涵盖范围,提高人们关于保护这些环境重要性的人士并为工控供应商和客户提供可执行的洞见以改进其安全性。”

虽然 Pwn2Own 2020 大赛将会发现并利用更多的新漏洞,但 ZDI 会携手工控供应商负责任地披露从软件中找到的所有安全问题以督促它们及时发布补丁。

八大目标和逾25万现金奖励

下表展示了 Pwn2Own 黑客大赛将关注的工控产品,以及参赛选手能够获取的现金奖励。

Pwn2Own 2020大赛将在2020年1月21日至23日在迈阿密South Beach 的 S4 会议上举行,将涵盖五大工控软件类别,所有成功者均有现金奖励,总额超过25万美元。

S4 Events 创始人兼计划主席 DalePeterson 表示,“在工控安全行业工作超20年的时间里,我一直都和供应商以及安全社区紧密合作,包含工业系统中关键资产的安全,而安全漏洞是正在进行的工作的一部分。”他指出,“从这些平台中找到并修复漏洞并非易事。很高兴看到ZDI 在Pwn2Own 迈阿密大会上将技能高超的社区瞄准这些目标,披露漏洞以使它们得到正确的修复。”

原文链接

https://www.bleepingcomputer.com/news/security/pwn2own-hacking-event-expands-to-industrial-control-systems/

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。