大手笔鼓励挖掘ICS和相关协议漏洞，Pwn2Own的“新业务”想传达什么？

自2007年以来，Pwn2Own便鼓励参赛者，以广泛使用的软件和具有未知漏洞的设备作为挑战项目，挖掘尚未被发现的威胁以及0Day，而动辄上万美金的奖励，更使得这一活动成为网络安全行业的风向标式的存在。

与以往不同，今年的Pwn2Own从关注浏览器和操作系统扩展到了新领域，这其中就包括工业互联网安全。

大手笔扶持“新业务”

今年大会，Pwn2Own新增了关于发现ICS和相关协议中缺陷的比赛项目，并且对该项目提供了超过250000美元的悬赏，可以称得上是大手笔了。

“和其他竞赛一样，Pwn2Own试图通过揭示漏洞并将研究结果提供给供应商来强化这些平台”， Pwn2Own组织者、零日计划（ZDI）发起人Brian Gorenc在周一的帖子中说。

雷锋网 (公众号：雷锋网) 了解到，Pwn2Own Miami为以下五个ICS类别的漏洞提供了各种奖励：

1、控制服务器解决方案，可在不同的可编程逻辑控制器（PLC）之间提供连接，监视和控制，该PLC监视输入和输出并为自动化系统做出基于逻辑的决策。
2、OPC统一体系结构服务器实际上是“ ICS体系中的通用转换器协议”，它将各种OPC Classic规范背后的功能集成到一个可扩展的框架中。
3、DNP3，在ICS系统的各个组件之间使用的一组通信协议（北美电网中的主要协议）。
4、人机界面（HMI）/操作员工作站，可将机器操作员连接到工业控制系统的各种硬件组件。
5、工程工作站软件，可以直接通信并可以配置PLC等主要控制设备，还可以配置基于角色的机制。

黑客将可以专注于特定设备来发现各种漏洞，包括未经身份验证的崩溃或拒绝服务漏洞，信息泄露故障和远程执行代码漏洞。

不想挣大钱的黑客不是好选手，哪个项目给的赏金最多？

答案是：远程执行代码漏洞。

假设黑客在Iconics Genesis64（控制服务器）或Triangle Microworks SCADA数据网关（DNP3网关）等产品中找到这些漏洞，将获得最高20000美元的奖金。

如果选手更推崇以少积多的打法，那么了解其他项目的赏金金额也是很有必要的：

据零日计划倡议组织透露，本届Pwn2Own大会将在明年（1月21日至1月23日）在迈阿密举行的S4会议上举行。

Pwn2Own想传达什么？

Pwn2Own大手笔扶持“新业务”开展，并非只是人傻钱多的表现。

在过去一年里，由于黑客攻击事件造成的停水、停电等造成大面积负面影响的实例不在少数。

2019年2月，罗克韦尔自动化的工业控制应用的电能计量设备Allen-Bradley PowerMonitor 1000被发现存在两个漏洞。

一个跨站脚本漏洞可以让远程攻击者将任意代码注入目标用户的Web浏览器以获取对受影响设备的访问权限；另一个身份验证绕过漏洞，可以允许远程攻击者使用代理来启用通常对具有Web应用程序管理权限的人员可用的功能。绕过身份验证后，攻击者可以更改用户设置和设备配置。

2019年8月，安全公司 McAfee 的研究人员率先发现楼宇综合管理系统 (BMS)存在漏洞。

该漏洞影响 enteliBUS Manager（个用于管理不同 I / O 开关的控制系统），这些不同的 I / O 开关通常是连接到传感器、报警器、电机、锁、阀门和其他工业设备等物体。

卡巴斯基（Kaspersky）最近的一份报告显示，仅在2018年上半年，至少有41.2％的工业控制系统受到恶意软件的攻击，这进一步证实此类情况的出现并非小概率事件。由此来看，今年Pwn2Own对ICS的新关注也就不足为奇。

Tenable战略计划高级主管Eitan Goldstein称：“随着IT和OT（运营技术）领域的融合，关键基础设施面临的威胁只会增加，将ICS扩展到黑客竞赛是一项值得的举措。它显示出人们越来越多的意识到ICS存在的漏洞，以及将成熟的安全实践扩展到OT环境中的重要性日益增加。”

参考链接： threatpost

更多精彩文章请关注雷锋网网络安全栏目或雷锋网微信公众号宅客频道。

雷锋网原创文章，未经授权禁止转载。详情见 转载须知 。