image

Onderzoekers tonen zerodaylekken in industriële systemen

woensdag 22 januari 2020, 11:41 door Redactie, 1 reacties

Onderzoekers hebben tijdens de Pwn2Own-wedstrijd in Miami meerdere zerodaylekken in industriële controlesystemen (ICS) aangetoond. Via de kwetsbaarheden, waarvoor nog geen beveiligingsupdate beschikbaar is, is het mogelijk om systemen plat te leggen of over te nemen.

Pwn2Own is een jaarlijks terugkerend evenement dat sinds 2007 tijdens de CanSecWest-conferentie in Vancouver plaatsvindt. In eerste instantie richtte de wedstrijd zich alleen op browsers. Onderzoekers en hackers die onbekende kwetsbaarheden in browsers demonstreerden ontvingen hiervoor geldprijzen. Niet alleen werden meer programma's als doelwit toegevoegd, er volgde ook een tweede competitie genaamd Mobile Pwn2Own, die sinds 2013 in Tokyo wordt gehouden en is gericht op smartphones. Nu is er een derde competitie in Miami toegevoegd waar ICS-systemen het doelwit zijn.

De wedstrijd, die door het Zero Day Initiative (ZDI) wordt georganiseerd, richt zich op acht producten in vijf categorieën: controleservers, OPC Unified Architecture (OPC UA) servers, DNP3 gateways, human machine interfaces (HMI) en engineering workstation software (EWS). Het gaat om producten van onder andere Rockwell Automation en Schneider Electric. Op de eerste dag van het evenement werden er dos-aanvallen tegen de Triangle Microworks SCADA data gateway en Iconics Genesis64 controleserver gedemonstreerd.

Tevens lukte het onderzoekers om op afstand willekeurige code uit te voeren op de Rockwell Automation FactoryTalk View SE, de Iconics Genesis64 controleserver en Inductive Automation Ignition controleserver. Dergelijke systemen worden onder andere in de vitale infrastructuur en industriële processen gebruikt. In totaal ontvingen de onderzoekers voor de demonstratie van de onbekende kwetsbaarheden 110.000 dollar.

Informatie over de kwetsbaarheden worden nu met de betreffende leveranciers gedeeld, zodat die updates kunnen ontwikkelen. Nadat er patches zijn ontwikkeld zal het ZDI details over de beveiligingslekken vrijgeven. Vandaag vindt de tweede dag van het evenement plaats.

Image

Reacties (1)
22-01-2020, 17:13 door Anoniem
Doet Citrix ook mee? (volgens mij niet?)

Misschien is het een idee een soortgelijke Pwn2Own wedstrijd te organiseren om kwetsbaarheden aan te tonen in IDS (intrusion detection systems), IPS (intrusion preventing system en SIEM (system information and event manager).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.