Pwn2Own Miami 2022 のテーマは ICS:各種の悪用証明に $400,000 の賞金

ICS Exploits Earn Hackers $400,000 at Pwn2Own Miami 2022

2022/04/21 SecurityWeek — Industrial Control Systems (ICS) にフォーカスするハッキング・コンテスト Pwn2Own Miami 2022 が終了し、悪用を証明した出場者たちは総額で $400,000 の賞金を獲得した。この、Trend Micro の Zero Day Initiative (ZDI) が主催するコンテストでは、OPC UA Server/Control Server/Human Machine Interface/Data Gateway の各カテゴリにおいて、11人の出場者が悪用を実演した。

参加者たちは、Unified Automation/Iconics/Inductive Automation/Prosys/Aveva/Triangle MicroWorks/OPC Foundation/Kepware/Softing の製品に対して、合計で 26種類のゼロデイ攻撃方法を実演してみせた。32件のハッキングのうち、成功したのは2件であり、また、既知のバグが関与したものは8件と、大半を占めた。これらのバグ突合でも、参加者たちは、それぞれの試行において $5,000 を獲得した。

このイベントに参加したホワイト・ハット・ハッカーたちは、通常リモートコード実行の脆弱性で5 $20,000 を、DoS 脆弱性で $5,000 を獲得している。ただし、例外が1つだけあった。Computest Sector 7 チームは、OPC UA .NET 標準の信頼済みアプリケーション・チェックの回避に成功し、$40,000 を獲得している。

これは、Pwn2Own の参加者が 1件のエクスプロイトで獲得できる最高額である。Computest の試みは、 これまでの Pwn2Own において最も興味深いバグの1つであると、Zero Day Initiative は解説している。 実際のところ、Computest チームは、最多ポイントと合計で $90,000 を獲得している。

2020年における、ICS テーマ Pwn2Own の初回では、参加者は合計で $280,000 を獲得した。なお、2021年は COVID-19 パンデミックのため、本イベントは開催されなかった。Pwn2Own Miami 2022 は、S4x22 ICS Security Conference と並行して、4月19日から4月21日にかけて開催された。

ICS に関連する記事の中でも、2022年4月13日の「米国政府機関の警告:ICS/SCADA を標的とする危険なマルウェアが活動し始めた」は、新たな危機が迫ってくる様子を表していました。同じく 4月13日には、「ICS Patch Tuesday: Siemens/Schneider の SCADA における深刻な脆弱性が FIX」という記事もあり、大手 ICS ベンダーにおける脆弱性への取り組みが紹介されています。実際のところ、2021年12月15日の「Log4J と攻撃者たち:IT/IoT/OT を狙うランサムウェア・ギャングから国家支援ハッカーまで」を読むと、オープンソース・コンポーネントが IT/OT の境界を越えて、広く利用されている現状も見えてきます。そんな背景の中での Pwn2Own Miami 2022 のテーマが ICS だというのは、とてもタイムリーなことだと思えますね。よろしければ、カテゴリ ICS も、ご利用ください。

%d bloggers like this: