从顶级黑客大赛看工控系统设计的不堪一击

近日，由趋势科技旗下Zero Day Initiative（ZDI）制作团队主办的2022年迈阿密Pwn2Own计算机病毒比赛落幕，出赛队伍共有找到26个零日缺陷，赢得40万美元奖金。

此次比赛题材为的工业操纵电子系统（Industrial Control Systems，ICS），赢得世界逆向工程宗师（Master of Pwn）奖项的是两位来自荷兰的计算机病毒Daan Keuper与Thijs Alkemade，Keuper向《麻省理工学院科技华尔街日报》表示，这是他们所参加过非常简单的获胜者，因为的工业操纵电子系统中曾根本唾手可得的成果，这是个可用性停滞不前许多的教育领域。

这次以的工业操纵电子系统为题材的比赛分为4个大类，包括操纵IP、该操作电子系统无线电分立架构（OPC UA）IP、统计数据交换机和人机界面。其中，操纵IP同义的是可使用操纵各种可程式化逻辑操纵器与其它彩排电子系统的IP，其炮击前提为Iconics Genesis64和Inductive Automation Ignition。

OPC UA则是一个整合所有OPC Classic国际标准的架构，转任ICS世界通用翻译成协议书，仅仅显现出在所有的ICS产品中，交由在多种不同供应商的电子系统间传递信息资料，其炮击前提为Unified Automation C++ Demo Server、OPC Foundation OPC UA .NET Standard、Prosys OPC US SDK for Java，以及Softing Secure Integration Server。

统计数据交换机专门连结运用于多种不同协议书的操纵电子系统，其炮击前提为Triangle Microworks SCADA Data Gateway 与Kepware KEPServerEx server；人机界面同义的是允许的工业电子系统操作者执法人员加载各种ICS硬件元件的界面，其炮击前提为AVEVA Edge与Schneider Electric EcoStruxure Operator Terminal Expert。

其中，操纵IPIconics Genesis64与人机界面AVEVA Edge仅被顺利攻陷6次。锁死Iconics Genesis64的炮击全都可从远距制订任意程序，以外有3次炮击开采零日缺陷。针对AVEVA Edge的顺利炮击除此以外可制订远距程序，并且有4次炮击开采零日缺陷。

比赛的女主播Dustin Childs同义出，的工业操纵电子系统上的很多缺陷，在10至15之前都曾显现出在企业操作电子系统中，同时他也很讶异在Iconics Genesis64中看到这么多多种不同的缺陷。

冠军之一的Keuper曾在2012年的Pwn2Own比赛中顺利黑入iPhone，也与小杰Alkemade在2018年黑入ABC汽车所使用的车载资讯电子系统，他并不认为黑入iPhone与黑入ICS多种不同，因为苹果介面常常更新，且消费换回iPhone的频率高，但常常显现出在根本性工程建设中的ICS意味著保留了几十年，因为不很难重新启动所以很少完成安全和更新，ICS教育领域需要为基础全新的安全和外观设计。往期回顾

警惕！僵尸因特网正通过阿里云、AWS、Docker完成挖矿

2022.04.24

E周观察-安全和威胁情报（2022.4.16~4.22）

2022.04.23

“五眼联盟”自愿严阵以待，惩罚俄罗斯恐吓因特网活动

2022.04.22

出处：本文由E安全和编译报道，刊发请联系专利权并出处明来源。

适合膝盖关节疼痛做的健身操
男性脱发严重怎么治疗
宝宝口臭
拔毒生肌药
角膜擦伤
乳痛症
怎样去眼袋
幼儿便秘