你并不了解真实的台湾

发生在上海,出现挤兑潮?

三亚不能批评吗? | 舆论手札

H游戏只知道《尾行》?弱爆了!丨BB IN

彻底失望,气得我一夜睡不着觉,从今天开始我支持武统

生成图片,分享到微信朋友圈

自由微信安卓APP发布,立即下载! | 提交文章网址
查看原文

ICS Pwn2Own 2022迈阿密黑客大赛的目标和奖金公布

Eduard Kovacs 代码卫士 2022-05-23

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

本周一,趋势科技ZDI 发布了2022年迈阿密Pwn2Own黑客大赛的目标和奖金。该大赛主要关注工控系统产品和相关协议。


2022年迈阿密 Pwn2Own大赛 将在2022年1月25日至27日举行,主要设置了四个目标类别:控制服务器、OPC UA 服务器、数据网关和人机界面 (HMI)。

在控制服务器类别,参赛人员如能成功入侵 Iconics Genesis64 和 Inductive Automation Ignition 产品,则可获得最高2万美元的奖金。

在OPC UA 类别,参赛人员如能展示针对 Unified Automation C++ 演示服务器、OPC 基金会的 OPC UA .NET 标准、Prosys OPC UA SDK for Java 和 Softing Secure Integration Server 的利用,则可获得5000美元至4万美元不等的奖金。

在数据网关类别,研究员如能给出影响 Triangle Microworks SCADA Data Gateway 产品或Kepware KEPServerEx 服务器的任意代码执行利用,则可获得最高2万美元的奖金。

HMI 类别的最高奖金也是2万美元,要求参赛人员能够展示针对 AVEVA Edge 和 Schneider Electric EcoStruxure Operator Terminal Expert 产品中的代码执行漏洞。


签名注册大赛的最后期限是2022年1月21日。研究人员必须提交能够详细说明其 exploit 的论文以及如何执行这些 exploit。

Pwn2Own 迈阿密2022年大赛将以线上线下相结合的方式进行,参赛人员可亲自去S4 大会现场参加大赛,或者从全球任何地方远程参与。不过,ZDI 表示如出现差错,则远程参赛人员在尝试过程中无法修改其exploit。

在去年的大赛中,参赛人员展示了针对 Rockwell Automation、Schneider Electric、Triangle MicroWorks、Unified Automation、Iconics 和 Inductive Automation 产品的24个0day 漏洞,共获得28万美元的奖金。















推荐阅读
GitHub 在 “tar” 和 npm CLI 中发现7个高危的代码执行漏洞
流行的 NPM 包依赖关系中存在远程代码执行缺陷
关于原型污染漏洞的完整指南
jQuery CVE-2019-11358 原型污染漏洞分析和修复建议
【漏洞预警】jQuery 前端库出现罕见的原型污染漏洞,影响范围广泛(含技术分析)





原文链接

https://www.securityweek.com/targets-and-prizes-announced-2022-ics-themed-pwn2own


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~



文章有问题?点此查看未经处理的缓存