Pwn2Own: Hacker- wettbewerb bringt 26 Zero-Day-Lücken ans Tageslicht

Hacker (Bild: Shutterstock)

Das Thema des diesjährigen Wettbewerbs sind Industriekontrollsysteme. Die Teilnehmer kassieren Belohnungen in Höhe von 400.000 Dollar.

Der von der Zero Day Initiative veranstaltete Hackerwettbewerb Pwn2Own hat in diesem Jahr 26 Zero-Day-Lücken hervorgebracht. Ausgerichtet war die Veranstaltung in diesem Jahr auf Industriekontrollsysteme. Die Teilnehmenden Sicherheitsforscher kassierten zudem Prämien in Höhe von 400.000 Dollar.

An drei Tagen stellten elf Teilnehmer insgesamt 32 Angriffe auf verschiedene Komponenten von Industriekontrollsystemen vor. Die Ziele waren in vier Kategorien unterteilt: Control Server, OPC Unified Architecture Server (OPC UA), Data Gateway und Human Machine Interface (HMI).

Belohnungen wiederum waren in Abhängigkeit vom Schweregrad einer Schwachstelle ausgelobt. Für Bugs, die Denial-of-Service-Angriffe erlauben, gab es 5000 Dollar. Wird eine Remotecodeausführung ermöglicht, zahlte ZDI 20.000 Dollar. 40.000 Dollar wurden für Anfälligkeiten ausgeschüttet, durch die die Prüfung vertrauenswürdiger Anwendungen ausgehebelt wird.

Nur ein Bug qualifiziert sich für die höchste mögliche Belohnung

Den Höchstbetrag kassierte lediglich das Team um den Sicherheitsforscher Daan Keuper, der für den niederländischen Sicherheitsanbieter Computest Sector 7 arbeitet, am zweiten Tag des Wettbewerbs. Er umging die Prüfung vertrauenswürdiger Anwendungen beim OPC Foundation UA .NET Standard.

20.000 Dollar schüttete ZDI indes 13 mal aus. Die Teilnehmer präsentierten dafür unter anderem Lücken in Iconics Genesis64, Inductive Automation Ignition, AVEVA Edge, Triangle Microworks SCADA Data Gateway und Kepware KEPServerEx.

Als Sieger des Wettbewerbs stand am dritten Tag und letzten Tag Daan Keuper und sein Team fest, mit einer Gesamtsumme von 90.000 Dollar. Die Details zu den Schwachstellen wurden bereits während des Wettbewerbs an die jeweiligen Hersteller übermittelt. Sie haben nun 120 Tage Zeit, Patches bereitzustellen, bevor ZDI die jeweiligen Schwachstellen öffentlich macht.