Pwn2Own Miami for 2022落幕,研究人員找到26個位於工業控制系統的零時差漏洞

由趨勢科技旗下Zero Day Initiative(ZDI)團隊所主辦的,參賽隊伍總共找到了26個零時差漏洞,抱走40萬美元的獎金。這次的主題為工業控制系統(Industrial Control Systems,ICS),獲得破解大師(Master of Pwn)桂冠的是駭客競賽的常客Daan Keuper與Thijs Alkemade,特別的是,,這是他們所參加過最簡單的競賽,因為工業控制系統中有太多唾手可得的成果,這是個安全性落後許多的領域。

在這次以工業控制系統為主題的競賽中分為4個類別,包括控制伺服器、開放平臺通訊統一架構(OPC UA)伺服器、資料閘道,以及人機介面。其中,控制伺服器指的是可用來控制各種可程式化邏輯控制器與其它現場系統的伺服器,攻擊目標為Iconics Genesis64與Inductive Automation Ignition。

OPC UA則是一個整合所有OPC Classic規格的架構,擔任ICS世界的通用翻譯協定,幾乎出現在所有的ICS產品中,負責在不同供應商的系統間傳遞資料,攻擊目標為Unified Automation C++ Demo Server、OPC Foundation OPC UA .NET Standard、Prosys OPC US SDK for Java,以及Softing Secure Integration Server。

資料閘道專門連結採用不同協定的裝置,攻擊目標為 Triangle Microworks SCADA Data Gateway 與Kepware KEPServerEx server;人機介面指的是允許工業系統操作人員存取各種ICS硬體元件的介面,攻擊目標為AVEVA Edge與Schneider Electric EcoStruxure Operator Terminal Expert。

推薦評價好的iphone維修中心

擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢

台北網頁設計公司這麼多該如何選擇?

網動是一群專業、熱情、向前行的工作團隊,我們擁有靈活的組織與溝通的能力,能傾聽客戶聲音,激發創意的火花,呈現完美的作品

自行創業缺乏曝光? 網頁設計幫您第一時間規劃公司的形象門面

網站的第一印象網頁設計,決定了客戶是否繼續瀏覽的意願。台北網動廣告製作的RWD網頁設計,採用精簡與質感的CSS語法,提升企業的專業形象與簡約舒適的瀏覽體驗,讓瀏覽者第一眼就愛上它。

其中,控制伺服器Iconics Genesis64與人機介面AVEVA Edge都被成功攻陷6次。鎖定Iconics Genesis64的攻擊全都可自遠端執行任意程式,當中有3次攻擊開採的零時差漏洞。針對AVEVA Edge的成功攻擊同樣可執行遠端程式,並有4次攻擊開採零時差漏洞。

該競賽的主持人Dustin Childs指出,在工業控制系統上所看到的很多漏洞,在10至15年前都曾出現在企業軟體中,同時他也很訝異在Iconics Genesis64中看到這麼多不同的漏洞。

Keuper曾在2012年的Pwn2Own競賽中成功駭進iPhone,也與同伴Alkemade,他認為駭進iPhone與駭進ICS不同,因為蘋果作業系統經常更新,且消費者換手機的頻率高,但經常出現在重大基礎設施中的ICS可能沿用了幾十年,因為不容易重新啟動所以很少進行安全更新,這意味著ICS領域需要導入全新的安全設計。

來源鏈接:https://www.ithome.com.tw/news/150589

廣告預算用在刀口上,台北網頁設計公司幫您達到更多曝光效益

有別於一般網頁架設公司,除了模組化的架站軟體,我們的營業主軸還包含:資料庫程式開發、網站建置、網頁設計、電子商務專案開發、系統整合、APP設計建置、專業網路行銷。

網頁設計一頭霧水該從何著手呢?

當全世界的人們隨著網路時代而改變向上時您還停留在『網站美醜不重要』的舊有思維嗎?機會是留給努力改變現況的人們,別再浪費一分一秒可以接觸商機的寶貴時間!

網頁設計一頭霧水該從何著手呢?

當全世界的人們隨著網路時代而改變向上時您還停留在『網站美醜不重要』的舊有思維嗎?機會是留給努力改變現況的人們,別再浪費一分一秒可以接觸商機的寶貴時間!