在本周於佛羅里達州邁阿密舉辦的 Pwn2Own 2022 大會上,兩名來自荷蘭的白帽黑客獲得了第四次勝利。作為這場年度黑客大會的大贏家,Dean Keuper 和 Thijs Alkemade 獲得了 90000 美元獎勵、且捧走了冠軍獎盃。此前這對搭檔曾於 2012、2018 和 2021 年創下過佳績。
本次挑戰期間,倆人將目標瞄向了名為“OPC UA”的工業控制軟件。其採用的開源通信協議,被廣泛應用於連接全球電網和其它關鍵基礎設施等工業系統。
儘管攻破 OPC UA 已經讓外人感到相當不安,Keuper 和 Alkemade 仍聲稱這是他們能夠搞定的“最簡單”的系統。
Keuper 在接受 MIT 科技評論採訪時稱:“在工業控制系統中,仍有許多隱患可被輕鬆利用,該領域的安防已經嚴重落後於現實世界”。
Alkemade 補充道,在工控環境中的操作相當容易得逞。事實上,倆人還攻擊了其它幾套基礎設施系統,但僅耗時兩天就攻破了 OPC UA 。
Daan Keuper 和 Thijs Alkemade 收到了 Master of Pwn 獎盃與夾克
Keuper 指出:“OPC UA 被用於連接世界各地的基礎設施,作為典型的工業網絡核心組件,我們可繞過通常需要讀取或修改任何內容的身份驗證”。
正因如此,他們才花了幾天時間就找到了突破口,並最終成功入侵了被世人認為相當重要的工控系統。
聯想到俄烏衝突期間發生的針對能源、水利、以及核基礎設施系統的網絡攻擊,相關行業顯然需要打起十二分精神去鞏固安全措施。
最後,雖然報道未提及開發者是否已經修補了 OPC UA 漏洞,但考慮到 Pwn2Own 賽事主辦方 Zero Day Initiative 的“私下披露獎勵政策”,目前暫可推定它是安全的。
相關文章:
3月份近90%的網絡攻擊是針對俄羅斯和烏克蘭的
烏克蘭宣稱挫敗了Sandworm黑客組織想要攻擊該國能源供應商的企圖
在ESET和微軟幫助下 烏克蘭成功阻止針對能源設施的網絡攻擊