聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
本周一,趋势科技ZDI 发布了2022年迈阿密Pwn2Own黑客大赛的目标和奖金。该大赛主要关注工控系统产品和相关协议。
2022年迈阿密 Pwn2Own大赛 将在2022年1月25日至27日举行,主要设置了四个目标类别:控制服务器、OPC UA 服务器、数据网关和人机界面 (HMI)。
在控制服务器类别,参赛人员如能成功入侵 Iconics Genesis64 和 Inductive Automation Ignition 产品,则可获得最高2万美元的奖金。
在OPC UA 类别,参赛人员如能展示针对 Unified Automation C++ 演示服务器、OPC 基金会的 OPC UA .NET 标准、Prosys OPC UA SDK for Java 和 Softing Secure Integration Server 的利用,则可获得5000美元至4万美元不等的奖金。
在数据网关类别,研究员如能给出影响 Triangle Microworks SCADA Data Gateway 产品或Kepware KEPServerEx 服务器的任意代码执行利用,则可获得最高2万美元的奖金。
HMI 类别的最高奖金也是2万美元,要求参赛人员能够展示针对 AVEVA Edge 和 Schneider Electric EcoStruxure Operator Terminal Expert 产品中的代码执行漏洞。
签名注册大赛的最后期限是2022年1月21日。研究人员必须提交能够详细说明其 exploit 的论文以及如何执行这些 exploit。
Pwn2Own 迈阿密2022年大赛将以线上线下相结合的方式进行,参赛人员可亲自去S4 大会现场参加大赛,或者从全球任何地方远程参与。不过,ZDI 表示如出现差错,则远程参赛人员在尝试过程中无法修改其exploit。
在去年的大赛中,参赛人员展示了针对 Rockwell Automation、Schneider Electric、Triangle MicroWorks、Unified Automation、Iconics 和 Inductive Automation 产品的24个0day 漏洞,共获得28万美元的奖金。
推荐阅读
GitHub 在 “tar” 和 npm CLI 中发现7个高危的代码执行漏洞
jQuery CVE-2019-11358 原型污染漏洞分析和修复建议
【漏洞预警】jQuery 前端库出现罕见的原型污染漏洞,影响范围广泛(含技术分析)
原文链接
https://www.securityweek.com/targets-and-prizes-announced-2022-ics-themed-pwn2own
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
573
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
