Les pirates gagnent 400 000 $ pour les exploits ICS zero-day présentés à Pwn2Own

Pwn2Own

Pwn2Own Miami 2022 s’est terminé avec des concurrents gagnant 400 000 $ pour 26 exploits zero-day (et plusieurs collisions de bugs) ciblant les produits ICS et SCADA présentés lors du concours entre le 19 avril et le 21 avril.

Les chercheurs en sécurité ont ciblé plusieurs catégories de production : serveur de contrôle, serveur OPC Unified Architecture (OPC UA), passerelle de données et interface homme-machine (IHM).

« Merci encore à tous les concurrents qui ont participé. Nous ne pourrions pas organiser de concours sans eux », a déclaré aujourd’hui l’initiative Zero Day Initiative (ZDI) de Trend Micro.

« Merci également aux fournisseurs participants pour leur coopération et pour avoir fourni des correctifs pour les bugs divulgués tout au long du concours. »

Une fois que les vulnérabilités de sécurité exploitées pendant Pwn2Own sont signalées, les fournisseurs disposent de 120 jours pour publier des correctifs jusqu’à ce que ZDI les divulgue publiquement.

Résultats Pwn2Own Miami 2022

Les gagnants ont reçu 90 000 $

Les gagnants du Événement Pwn2Own Miami 2022 sont Daan Keuper (@daankeuper) et Thijs Alkemade (@xnyhps) de Computest Secteur 7 (@sector7_nl).

Au cours de la première journée, ils ont gagné 20 000 $ après avoir exécuté du code sur la solution de serveur de contrôle SCADA Inductive Automation Ignition en utilisant une faiblesse d’authentification manquante.

Le même jour, ils ont utilisé une vulnérabilité de chemin de recherche incontrôlée pour obtenir l’exécution de code à distance (RCE) dans le logiciel AVEVA Edge HMI/SCADA et ont reçu 20 000 $ pour leurs efforts.

Le deuxième jour, Computest Sector 7 a exploité une condition de boucle infinie pour déclencher un état DoS contre le serveur de démonstration Unified Automation C++ et a gagné 5 000 $.

Enfin et surtout, le deuxième jour de Pwn2Own Miami 2022, l’équipe a contourné la vérification des applications de confiance sur la norme OPC UA .NET de la Fondation OPC et a ajouté 40 000 $ à sa réserve de récompenses.

Ils ont remporté le titre de Master of Pwn après avoir gagné un total de 90 000 $ pendant les trois jours du concours et obtenu la première place du classement avec un total de 90 points.

Classement Master of Pwn
Résultats Pwn2Own Miami 2022 (ZDI)

Cette année, Pwn2Own Miami a eu lieu au Conférence S4 à Miami South Beach en personne et a également permis la participation à distance.

Pendant la première édition du Pwn2Own Miami sur le thème ICSretenu en janvier 2020, ZDI a accordé 280 000 $ pour 24 vulnérabilités uniques de type « zero-day » dans les produits ICS et SCADA.

Vous pouvez regarder un enregistrement de l’équipe Computest Sector 7 (@sector7_nl) ciblant la norme OPC Foundation OPC UA .NET ci-dessous.

ZDI a décrit leur tentative comme exploitant « l’un des bugs les plus intéressants que nous ayons jamais vus sur un Pwn2Own ».

YouTube video