幸运分分彩 首页 > 学霸

大手笔鼓励挖掘ICS和相关协议漏洞,Pwn2Own的“新业务”想传达什么?

2019-10-29 22:30 weila

2019年2月,罗克韦尔自动化的工业控制应用的电能计量设备Allen-Bradley PowerMonitor 1000被发现存在两个漏洞。

一个跨站脚本漏洞可以让远程攻击者将任意代码注入目标用户的Web浏览器以获取对受影响设备的访问权限;另一个身份验证绕过漏洞,可以允许远程攻击者使用代理来启用通常对具有Web应用程序管理权限的人员可用的功能。绕过身份验证后,攻击者可以更改用户设置和设备配置。

2019年8月,安全公司 McAfee 的研究人员率先发现楼宇综合管理系统 (BMS)存在漏洞。

该漏洞影响 enteliBUS Manager(个用于管理不同 I / O 开关的控制系统),这些不同的 I / O 开关通常是连接到传感器、报警器、电机、锁、阀门和其他工业设备等物体。

卡巴斯基(Kaspersky)最近的一份报告显示,仅在2018年上半年,至少有41.2%的工业控制系统受到恶意软件的攻击,这进一步证实此类情况的出现并非小概率事件。由此来看,今年Pwn2Own对ICS的新关注也就不足为奇。

Tenable战略计划高级主管Eitan Goldstein称:“随着IT和OT(运营技术)领域的融合,关键基础设施面临的威胁只会增加,将ICS扩展到黑客竞赛是一项值得的举措。它显示出人们越来越多的意识到ICS存在的漏洞,以及将成熟的安全实践扩展到OT环境中的重要性日益增加。”

参考链接:threatpost

更多精彩文章请关注雷锋网网络安全栏目或雷锋网宅客频道。,