Esta semana concluyó la más reciente edición del evento de hacking ético Pwn2Own Miami 2022, durante el que se otorgaron premios por $400,000 USD gracias al reporte de 26 exploits día cero para abusar de productos ICS y SCADA. En esta edición, los investigadores se enfocaron en implementaciones como servidores de control, puertas de enlace de datos e interfaz hombre-máquina.
Zero Day Initiative (ZDI) publicó un mensaje agradeciendo a los involucrados en el evento: “Gracias nuevamente a todos los competidores y a los proveedores participantes por su cooperación y por solucionar los errores revelados”. Los proveedores de productos afectados tienen 120 días para lanzar parches para las fallas reportadas en Pwn2Own.
Los principales ganadores del evento Pwn2Own Miami 2022 son Daan Keuper y Thijs Alkemade, de Computest Sector 7. Durante el primer día, el equipo ganó $20,000 USD al demostrar un ataque de ejecución de código en la solución Inductive Automation Ignition SCADA, explotando una falla de autenticación faltante. Durante este día Computest Sector 7 también demostró un ataque de ejecución remota de código (RCE) en AVEVA Edge HMI/SCADA, recibiendo una recompensa de $20,000 USD.
En el segundo día, los investigadores explotaron un error de bucle infinito para desencadenar una condición de denegación de servicio (DoS) contra el servidor de demostración C++ de Unified Automation, ganando $5,000 USD, además de demostrar un ataque de evasión de autenticación en OPC Foundation OPC UA .NET Standard, obteniendo $40,000 USD más.
Computest Sector 7 ganó el título Master of Pwn luego de ganar un total de $90,000 durante los tres días del concurso y obtener el primer lugar en la tabla de clasificación con un total de 90 puntos.
El Pwn2Own Miami de este año se llevó a cabo en modalidad presencial y también permitió la participación remota de algunos investigadores. Durante la primera edición de Pwn2Own Miami, con el tema de ICS, celebrada en enero de 2020, ZDI otorgó $280,000 por el reporte de 24 vulnerabilidades día cero en productos ICS y SCADA.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad