Tem havido muita emoção em torno do Pwn2Own Miami para 2022 e foi uma competição incrível de três dias. Mais de US$ 400.000 foram concedidos para 26 0-dias e colisões de bugs.
Durante a competição entre 19 e 21 de abril, os concorrentes tiveram como alvo os produtos ICS e SCADA. Além disso, é importante notar que muitas outras categorias de produtos também foram alvo dos pesquisadores de segurança cibernética, e aqui estão elas: –
- Servidor de controle
- Servidor de Arquitetura Unificada OPC
- Gateway de dados
- Interface Homem-Máquina (IHM)
Todas as falhas de segurança exploradas durante a competição Pwn2Own foram relatadas aos respectivos fornecedores. A ZDI exige que todos os fornecedores liberem patches dentro de 120 dias após a ZDI divulgá-los publicamente à indústria.
Mestre de Pwn
Setor de Informática 7 (@sector7_nl) foi coroado Master of Pwn pela segunda vez com a pontuação combinada de 90 pontos em três dias acumulada pela dupla Daan Keuper (@daankeuper) e Thijs Alkemade (@xnyhps).
Listados abaixo estão todas as inscrições com resultados completos e o total de pontos para cada inscrição: –
Os vencedores são recompensados com $ 90.000
Depois de explorar a solução de servidor de controle SCADA Inductive Automation Ignition usando uma vulnerabilidade de autenticação ausente usada pelo mestre da equipe Pwn (Computest Sector 7), eles arrecadaram US$ 20.000 no primeiro dia.
Setor de Informática 7 exploraram uma vulnerabilidade de caminho de pesquisa não controlada no software AVEVA Edge HMI/SCADA para obter RCE, pelo qual foram premiados mais uma vez com a quantia de US$ 20.000 no mesmo dia.
Na segunda fase da competição, o Setor de Computação 7 explorou uma condição de loop infinito para acionar um estado de negação de serviço no Unified Automation C++ Demo Server e ganhou $5.000.
Pwn2Own Miami 2022 contou com a turma do Setor de Computação 7e passar pelo segundo dia sem problemas, ignorando a verificação de aplicativos confiáveis no padrão nativo OPC Foundation OPC UA .NET e ganhando uma grande recompensa de US$ 40.000.
Aqui está o que ZDI declarou: –
“um dos bugs mais interessantes que já vimos em um Pwn2Own.”
Na primeira edição do Pwn2Own Miami, o concurso com tema ICS realizado em janeiro de 2020, eles premiaram US$ 280.000 por 24 falhas exclusivas de dia zero em infraestrutura crítica e produtos SCADA.
Você pode nos seguir em Linkedin, Twitter, Facebook para atualizações diárias de notícias sobre segurança cibernética e hackers.