Der von der Zero Day Initiative veranstaltete Hackerwettbewerb Pwn2Own hat in diesem Jahr 26 Zero-Day-Lücken hervorgebracht. Ausgerichtet war die Veranstaltung in diesem Jahr auf Industriekontrollsysteme. Die Teilnehmenden Sicherheitsforscher kassierten zudem Prämien in Höhe von 400.000 Dollar.
An drei Tagen stellten elf Teilnehmer insgesamt 32 Angriffe auf verschiedene Komponenten von Industriekontrollsystemen vor. Die Ziele waren in vier Kategorien unterteilt: Control Server, OPC Unified Architecture Server (OPC UA), Data Gateway und Human Machine Interface (HMI).
Belohnungen wiederum waren in Abhängigkeit vom Schweregrad einer Schwachstelle ausgelobt. Für Bugs, die Denial-of-Service-Angriffe erlauben, gab es 5000 Dollar. Wird eine Remotecodeausführung ermöglicht, zahlte ZDI 20.000 Dollar. 40.000 Dollar wurden für Anfälligkeiten ausgeschüttet, durch die die Prüfung vertrauenswürdiger Anwendungen ausgehebelt wird.
Nur ein Bug qualifiziert sich für die höchste mögliche Belohnung
Den Höchstbetrag kassierte lediglich das Team um den Sicherheitsforscher Daan Keuper, der für den niederländischen Sicherheitsanbieter Computest Sector 7 arbeitet, am zweiten Tag des Wettbewerbs. Er umging die Prüfung vertrauenswürdiger Anwendungen beim OPC Foundation UA .NET Standard.
20.000 Dollar schüttete ZDI indes 13 mal aus. Die Teilnehmer präsentierten dafür unter anderem Lücken in Iconics Genesis64, Inductive Automation Ignition, AVEVA Edge, Triangle Microworks SCADA Data Gateway und Kepware KEPServerEx.
Als Sieger des Wettbewerbs stand am dritten Tag und letzten Tag Daan Keuper und sein Team fest, mit einer Gesamtsumme von 90.000 Dollar. Die Details zu den Schwachstellen wurden bereits während des Wettbewerbs an die jeweiligen Hersteller übermittelt. Sie haben nun 120 Tage Zeit, Patches bereitzustellen, bevor ZDI die jeweiligen Schwachstellen öffentlich macht.
Lieferkettenplanung in Deutschland auf Basis von Excel bei 37 Prozent der befragten Unternehmen im Einsatz.
Bedienpersonal von Fertigungsanalagen soll mögliche Risiken auch ohne Cybersecurity-Fachwissen erkennen und minimieren können.
Schiffl IT: Anomalien im Netzwerkverkehr und in den Systemen in Echtzeit identifizieren.
Absicherung der IT-Infrastruktur erfolgt über die Zero Trust Exchange-Plattform von Zscaler.
Maschinen können mit neuen Verfahren lernen, nicht nur Vorhersagen zu treffen, sondern auch mit kausalen…
Medizingeräte Hersteller Tuttnauer schützt Gerätesoftware mit IoT-Sicherheitslösung.