聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
为期三天的2023迈阿密 Pwn2Own 大赛落下帷幕,Claroty 参赛团队以十次尝试十次成功,共获得9.85万美元的奖励,外加2.5万美元冠军奖金的战绩夺得Master of Pwn桂冠。
大赛共分7个类别,它们分别是:
-
虚拟机
-
web浏览器
-
企业应用
-
服务器
-
本地提权
-
企业通信
-
汽车
|
结果 |
经过 |
|
成功 |
Claroty 团队(2)成功在“感应式自动化点火”执行DoS攻击,获得5000美元奖励和5个积分点;(2)通过由四个漏洞组成的攻击链对Triangle Microworks SCADA 数据网关实施攻击,获得2万美元奖金和20个积分点;(3)通过一个资源耗尽漏洞对PTC KepServeEx实施DoS 攻击,获得5000美元奖金和5个积分点;(4)通过一个资源耗尽漏洞对OPC Foundation OPC UA.NET标准实施DoS 攻击,获得5000美元奖金和5个积分点; |
|
成功 |
ECQ团队使用Null Pointer Deref 实现对西门子Softing edgeConnector 的DoS 攻击,获得5000美元奖金和5个积分点。 |
|
成功 |
20urdjk 在“感应式自动化点火”上成功演示RCE攻击,获得2万美元奖金和20个积分点。 |
|
结果 |
经过 |
|
成功 |
Claroty(1)通过一个资源耗尽漏洞完成对西门子Softing edgeConnector 的DoS 攻击,最终获得5000美元的奖金和积分点;(2)通过一个UAF漏洞在Unified Automation uaGateway 上执行DoS攻击,最终获得5000美元的赏金和5个积分点;(3)通过一个UAF漏洞在西门子 Softing edgeAggregator 上执行RCE攻击,最终获得2万美元的赏金和20个积分点; |
|
成功 |
ECQ团队利用由三个漏洞组成的攻击链在Triangle Microworks SCADA Data Gateway 上执行RCE攻击,最终获得2万美元赏金和20个积分点。 |
|
撞洞 |
虽然Claroty团队在“感应式汽车点火”系统上成功执行RCE攻击,但所使用的exploit是大赛中曾被使用过的。最终他们获得1万美元赏金和10个积分点。 |
|
成功 |
STAR Labs 成功在 Unified Automation UaGateway 上执行DoS 攻击,最终获得5000美元奖励和5个积分点。 |
|
结果 |
经过 |
|
成功 |
Claroty团队通过一个资源耗尽漏洞对Prosys OPC UA Simulation Server发动DoS攻击,获得5000美元的赏金和5个积分点。 |
|
成功 |
Axel Soucet 通过一个空解指针解引用对Unified Automation UaGateway 发动DoS 攻击,最终获得5000美元奖励和5个积分点。 |
|
成功/撞洞 |
Claroty 团队成功对Softing Secure Integration Server 发动RCE攻击,然而他们所使用的其中一个漏洞是之前已知的,不过最终仍然获得1.85万美元和18.5个积分点。 |
|
失败 |
Shuffle2未能成功在规定时间内使其RCE exploit 在PTC KepServerEx上成功运行。 |
https://www.zerodayinitiative.com/blog/2023/2/14/pwn2own-miami-2023-day-one-results
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):Pwn2Own 2023迈阿密大赛Master of Pwn诞生
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论