Pwn2Own Miami – Bringt ICS in den Wettbewerb

Originalbeitrag von Brian Gorenc

Der Pwn2Own-Wettbwerb in Vancouver hat sich in den letzten 12 Jahren immer weiter entwickelt – von der Entdeckung von Sicherheitslücken in Web Browsern bis zu solchen in Virtualisierungssoftware und Unternehmensanwendungen. 2012 kamen Mobilgeräte als Ziel hinzu, und in ein paar Wochen wird es auch um den Versuch der Kompromittierung von drahtlosen Routern, Webkameras und Smart TVs gehen. Im Januar (21. – 23.) 2020 geht Pwn2Own wieder einen Schritt weiter und startet einen dritten Wettbewerb auf der S4 conference in Miami South Beach. Es geht um Industrial Control Systems (ICS) und die dazu gehörigen Protokolle. Ziel der Wettbewerbs ist es, die Plattformen zu härten, indem die entdeckten Schwachstellen verantwortungsvoll offengelegt werden, sodass die Hersteller möglichst schnell Patches dafür zur Verfügung stellen können.
Der Wettbewerb umfasst fünf Kategorien:

– Control Server

– OPC Unified Architecture (OPC UA) Server

– DNP3 Gateway

– Human Machine Interface (HMI) / Operator Workstation

– Engineering Workstation Software (EWS)

Innerhalb einer Kategorie sind mehrere Preise für das Auffinden von Schwachstellen in den Produkten ausgeschrieben. Die Aufgabe ist es zu versuchen, in die exponierten Netzwerkdienste des Ziels vom Laptop des Teilnehmers innerhalb des Wettbewerbsnetzwerks einzudringen.

Kann der Teilnehmer aus der Ferne Code ausführen, so erhält er einen Zusatzbonus für Continuation. Ermöglicht es die Exploit-Payload dem betroffenen Netzwerkdienst/Prozess, den normalen Betrieb nach erfolgreicher Ausnutzung fortzusetzen, erhält der Teilnehmer zusätzliche 5.000 $ und fünf weitere Master of Pwn-Punkte. Dies gilt für nahezu alle Kategorien.

Kategorie: Control Server

Diese Kategorie umfasst Server-Lösungen, die Konnektivität, Monitoring und Kontrolle über verteilte Programmable Logic Controller (PLC)- und andere Feldsysteme bieten. Diese werden oft aufgrund ihrer niedrigeren Kosten öfter als ein DCS eingesetzt und sind auch an Standorten mit einer Vielzahl von Protokollen und Produkten anzutreffen. Ein Angreifer, der einen Kontrollserver übernimmt, könnte den Prozess beliebig verändern und wäre in den Aktivitäten nur durch seine Engineering- und Automatisierungsfähigkeiten eingeschränkt. Zu den Zielen in dieser Kategorie gehören die Steuerungsserver von Iconics und Inductive Automation.

Kategorie: OPC Unified Architecture (OPC UA) Server

Die OPC Unified Architecture (UA) ist eine plattformunabhängige, service-orientierte Architektur, die die gesamte Funktionalität der individuellen OPC Classic-Spezifikationen in ein erweiterbares Framework integriert. OPC UA dient als universelles Übersetzerprotokoll in der ICS-Welt. Es wird von nahezu allen ICS-Produkten für das Versenden von Daten zwischen verteilten Systemen genutzt. OPC UA soll sicherer sein als der Vorgänger DCOM, und seine Beliebtheit nimmt zu. Im Wettbewerb gibt es zwei Produkte: den Unified Automation ANSI C Demo Server und den OPC Foundation OPC UA .NET Standard.

Kategorie: DNP3 Gateway

DNP3 ist ein Set von Kommunikationsprotokollen, die zwischen verschiedenen Komponenten in ICS-Systemen eingesetzt werden. Zur Verfügung steht das Triangle Microworks SCADA Data Gateway. Gelingt es, das Data Gateway zu kompromittieren, könnte dies ein Startpunkt für andere Angriffe innerhalb des ICS darstellen, oder gar das Energiemanagement-System (EMS) stören.

Kategorie: Human Machine Interface (HMI) / Operator Workstation

Das HMI verbindet den Betreiber (Operator) eines ICS mit den verschiedenen Hardware-Komponenten. Wenn ein Angreifer ein HMI übernimmt, so kann er auch verhindern, dass der Betreiber Prozessprobleme im ICS früh genug sieht.

Zur Verfügung steht das Rockwell Automation FactoryTalk View SE und das Schneider Electric EcoStruxure Operator Terminal Expert.

Engineering Workstation Software (EWS)

Ähnlich dem HMI liefert auch die Engineering Workstation Software (EWS) ein lohnendes Ziel für Angreifer. Sie kommuniziert und kann primäre Steuergeräte wie PLCs direkt konfigurieren und kann auch rollenbasierte Mechanismen konfigurieren. Hier geht es um Rockwell Automation Studio 5000 als Zielprodukt.

Master of Pwn

Natürlich wird auch hier ein Master of Pwn gekürt. Dieser bekommt eine coole Trophäe und zusätzliche 65.000 ZDI Punkte. Einzelheiten zu den Regeln bietet der Originalbeitrag und die Regeln für Pwn2Own Miami 2020.

Für die Registration kontaktieren Sie bitte zdi@trendmicro.com.