Участники Pwn2Own Miami 2022 выявили 26 уязвимостей в АСУ ТП и SCADA

Исследователи безопасности получили вознаграждение в размере $400 тыс. за обнаружение 26 ранее неизвестных уязвимостей в АСУ ТП и SCADA-системах в рамках хакерских соревнований Pwn2Own Miami 2022, проходивших 19-21 апреля.

В ходе мероприятия исследователи атаковали различные категории продуктов, в том числе серверы управления, серверы OPC UA, шлюзы данных и человеко-машинные интерфейсы.

После обнаружения уязвимостей в рамках Pwn2Own о них сообщается производителям, которым дается 120 дней на исправление, а затем Trend Micro Zero Day Initiative (ZDI) выкладывает данные об уязвимостях в открытый доступ.

Победителями Pwn2Own Miami 2022 стали Даан Кеупер (Daan Keuper), также известный как @daankeuper, и Тхийс Алкемаде (Thijs Alkemade), также известный как @xnyhps, из подразделения Sector 7 нидерландской IT-компании Computest.

В первый день победители получили $20 тыс. за выполнение кода на сервере управления Inductive Automation Ignition SCADA через уязвимость отсутствия механизма аутентификации. Кроме того, с помощью уязвимости неконтролируемого пути поиска исследователи удаленно выполнили код в AVEVA Edge HMI/SCADA, за что тоже получили награду в размере $20 тыс.

На второй день команда Computest Sector 7 проэксплуатировала уязвимость отказа в обслуживании в Unified Automation C++ Demo Server и завоевала $5 тыс. Исследователям также удалось обойти проверку доверенности приложений в OPC Foundation OPC UA .NET Standard, благодаря чему сумма их вознаграждения увеличилась еще на $40 тыс.

За три дня соревнований команда заработала $90 тыс. и завоевала титул Master of Pwn («Магистр взлома»).