PWN2OWN 迈阿密 2022赛程表与战果一

admin 2022年5月3日01:09:17安全新闻评论13 views3762字阅读12分32秒阅读模式

4月19日星期二

09:30 - 20urdjk 针对具有 OPC UA 服务器类别中的 DoS 的 Unified Automation C++ 演示服务器

10:30 -  来自@pentestltd 的@_s_n_t针对感应自动化点火,RCE 属于控制服务器类别

📷 11:30 - Steven Seeley ( @steventseeley ) 和 Chris Anastasio ( @mufinnnnnnn ) 的 Incite 团队以控制服务器类别中的 RCE 为目标瞄准 Iconics Genesis64

11:30:Or Peles、Omer Kaspi 和 Uriya Yavnieli 来自 JFrog Security Research,目标是统一自动化 C++ 演示服务器,在 OPC UA 服务器类别中具有 DoS

13:00 - Pedro Ribeiro ( @pedrib1337 ) 和 Radek Domanski ( @RabbitPro ) 的闪回团队瞄准 AVEVA Edge,并在人机界面类别中获得 RCE

13:00 -来自 Computest Sector 7 ( @sector7_nl ) 的Daan Keuper ( @daankeuper ) 和 Thijs Alkemade ( @xnyhps ) 针对具有控制服务器类别中 RCE 的感应自动化点火

PWN2OWN 迈阿密 2022赛程表与战果一

📷 14:00 - https://doar-e.github.io的 Axel '0vercl0k' Souchet针对 Iconics Genesis64 与控制服务器类别中的 RCE

14:00 - Claroty Research 针对 Prosys OPC UA SDK for Java 与 OPC UA 服务器类别中的 DoS

15:00 - Daan Keuper ( @daankeuper ) 和 Thijs Alkemade ( @xnyhps ) 来自 Computest Sector 7 ( @sector7_nl ),目标是 AVEVA Edge,在人机界面类别中获得 RCE

15:00 - 20urdjk 在控制服务器类别中使用 RCE 瞄准感应自动化点火

16:00 - 由 Steven Seeley ( @steventseeley ) 和 Chris Anastasio ( @mufinnnnnnn ) 组成的 Incite 团队针对具有数据网关类别 RCE 的 Triangle Microworks SCADA 数据网关

16:00 - Claroty Research ( @claroty ) 针对 Iconics Genesis64,RCE 属于控制服务器类别

📷 17:00 - Pedro Ribeiro ( @pedrib1337 ) 和 Radek Domanski ( @RabbitPro ) 的闪回团队针对具有控制服务器类别中的 RCE 的感应自动化点火

18:00 - Claroty Research ( @claroty ) 针对 OPC Foundation OPC UA .NET 标准,在 OPC UA 服务器类别中具有 DoS

18:00 - Daan Keuper ( @daankeuper ) 和 Thijs Alkemade ( @xnyhps ) 来自 Computest Sector 7 ( @sector7_nl ),目标是 Iconics Genesis64,RCE 属于控制服务器类别

19:00 - 由 Steven Seeley ( @steventseeley ) 和 Chris Anastasio ( @mufinnnnnnn ) 组成的团队以人机界面类别中的 RCE 为目标瞄准 AVEVA Edge


2022 年的 Pwn2Own 迈阿密赛已经结束,为期三天的比赛令人惊叹。我们总共为 26 个独特的 0 天(加上一些错误冲突)奖励了 400,000 美元。凭借三天累积的 90 分,来自 ComputestSector 7 ( @sector7_nl ) Daan Keuper ( @daankeuper ) Thijs Alkemade ( @xnyhps ) 团队赢得了 Pwn 大师!


PWN2OWN 迈阿密 2022赛程表与战果一


ZDI官方在博文中感谢所有参赛的参赛者,称没有他们就无法进行比赛。还要感谢参与的供应商的合作,并为整个比赛中披露的错误提供修复。提醒一下,供应商有 120 天的时间来修复所有报告的漏洞。

Pwn 积分榜的最终大师

PWN2OWN 迈阿密 2022赛程表与战果一


第一天 - 2022 4 19

成功- 20urdjk 能够对统一自动化 C++ 演示服务器执行 DoS 攻击。他们赚取 5,000 美元和 5 Master of Pwn 积分。

成功- 来自@pentestltdSam Thomas ( @_s_n_t )结合了身份验证绕过和反序列化错误来执行代码。他们赢得了 20,000 美元和 20 点的 Master of Pwn

成功- JFrog SecurityResearch Or PelesOmer Kaspi Uriya Yavnieli 利用释放后使用 (UAF) 错误在统一自动化 C++ 演示服务器上创建 DoS。他们赢得了 5,000 美元和 5 Master of Pwn 积分。

成功- 经过轻微的后勤延迟,Steven Seeley ( @steventseeley ) Chris Anastasio ( @mufinnnnnnn ) Incite 团队使用反序列化错误来让他们的代码在 #IconicsGenesis64 上执行。他们赚取 20,000 美元和 20 Pwn 大师积分。


成功-来自 Computest Sector 7 ( @sector7_nl ) Daan Keuper ( @daankeuper ) Thijs Alkemade ( @xnyhps ) 使用缺少的关键功能 vuln 身份验证来在 InductiveAutomation Ignition 上执行代码。他们赢得了 20,000 美元和 20 Master of Pwn 积分。

成功- Pedro Ribeiro( @pedrib1337 ) Radek Domanski ( @RabbitPro ) 的闪回团队使用 AVEVA Edge 中的不受控制的搜索路径错误来执行他们的代码。通过这样做,他们赢得了 20,000 美元和 20 点的 Master of Pwn

成功- ClarotyResearch ( @claroty ) 团队使用资源耗尽漏洞在 Prosys OPC UA SDK for Java 上执行他们的 DoS。这为他们赢得了 5,000 美元和 5 Pwn 大师积分。

成功-https://doar-e.github.io Axel '0vercl0k'Souchet使用双重免费错误在 IconicsGenesis64 上执行他的代码。他赢得了 20,000 美元和 20 Master of Pwn 积分。PWN2OWN 迈阿密 2022赛程表与战果一

成功-来自 Computest Sector 7 ( @sector7_nl ) Daan Keuper ( @daankeuper ) Thijs Alkemade ( @xnyhps ) 使用不受控制的搜索路径漏洞在 AVEVA Edge 中获取 RCE。他们赢得了 20,000 美元和 20 Master of Pwn 积分。

PWN2OWN 迈阿密 2022赛程表与战果一


成功- 20urdjk 使用 Inductive Automation Ignition 上的文件上传漏洞获得 RCE。他赢得了 20,000 美元和 20 点以上的 Master of Pwn。他的比赛总奖金现在是 25,000 美元和 25 分。

成功- Steven Seeley( @steventseeley ) Chris Anastasio ( @mufinnnnnnn ) Incite 团队使用了一对错误,包括目录遍历,在 TriangleMicroworks SCADA 数据网关上执行代码。又赢得了 20,000 美元和 20 多点 Master of Pwn 积分。

BUG COLLISION - 虽然 Claroty Research ( @claroty ) 团队成功演示了针对 Iconics Genesis64 RCE,但使用的 bug 是我们已经知道的。他们仍然赢得 5,000 美元和 5 Master of Pwn 积分。

BUG COLLISION - Pedro Ribeiro( @pedrib1337 ) Radek Domanski ( @RabbitPro ) Flashback 团队能够在 Inductive Automation Ignition 上执行代码,但他们使用的 bug 以前是已知的。他们仍然赢得 5,000 美元和 5 Master of Pwn 积分。

PWN2OWN 迈阿密 2022赛程表与战果一


BUG COLLISION - ComputestSector 7 ( @sector7_nl ) Daan Keuper ( @daankeuper ) Thijs Alkemade ( @xnyhps ) 成功弹出 calc,但他们使用的错误已在比赛的早期披露。他们仍然赢得 5,000 美元和 5 Master of Pwn 积分。

成功- ClarotyResearch ( @claroty ) 团队使用资源耗尽漏洞在 OPC Foundation OPC UA .NET 标准上执行 DoS。他们赚取 5,000 美元和 5 Master of Pwn 积分。

PWN2OWN 迈阿密 2022赛程表与战果一


成功- Steven Seeley( @steventseeley ) Chris Anastasio ( @mufinnnnnnn ) 的团队通过使用反序列化错误在 AVEVA Edge 上执行代码来结束 Pwn2Own Miami 2022 的第一天。他们又赢得了 20,000 美元和 20 多点 Master of Pwn 积分。他们第一天的总奖金是 60,000 美元和 60 分。

PWN2OWN 迈阿密 2022赛程表与战果一

原文始发于微信公众号(祺印说信安):PWN2OWN 迈阿密 2022赛程表与战果一

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月3日01:09:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  PWN2OWN 迈阿密 2022赛程表与战果一 http://cn-sec.com/archives/970227.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: