本次挑戰(zhàn)期間，倆人將目標(biāo)瞄向了名為“OPC UA”的工業(yè)控制軟件。其采用的開源通信協(xié)議，被廣泛應(yīng)用于連接全球電網(wǎng)和其它關(guān)鍵基礎(chǔ)設(shè)施等工業(yè)系統(tǒng)。

盡管攻破 OPC UA 已經(jīng)讓外人感到相當(dāng)不安，Keuper 和 Alkemade 仍聲稱這是他們能夠搞定的“最簡單”的系統(tǒng)。

Keuper 在接受 MIT 科技評論采訪時(shí)稱：“在工業(yè)控制系統(tǒng)中，仍有許多隱患可被輕松利用，該領(lǐng)域的安防已經(jīng)嚴(yán)重落后于現(xiàn)實(shí)世界”。

Alkemade 補(bǔ)充道，在工控環(huán)境中的操作相當(dāng)容易得逞。事實(shí)上，倆人還攻擊了其它幾套基礎(chǔ)設(shè)施系統(tǒng)，但僅耗時(shí)兩天就攻破了 OPC UA 。

Daan Keuper 和 Thijs Alkemade 收到了 Master of Pwn 獎杯與夾克

Keuper 指出：“OPC UA 被用于連接世界各地的基礎(chǔ)設(shè)施，作為典型的工業(yè)網(wǎng)絡(luò)核心組件，我們可繞過通常需要讀取或修改任何內(nèi)容的身份驗(yàn)證”。

正因如此，他們才花了幾天時(shí)間就找到了突破口，并最終成功入侵了被世人認(rèn)為相當(dāng)重要的工控系統(tǒng)。

聯(lián)想到俄烏沖突期間發(fā)生的針對能源、水利、以及核基礎(chǔ)設(shè)施系統(tǒng)的網(wǎng)絡(luò)攻擊，相關(guān)行業(yè)顯然需要打起十二分精神去鞏固安全措施。

最后，雖然報(bào)道未提及開發(fā)者是否已經(jīng)修補(bǔ)了 OPC UA 漏洞，但考慮到 Pwn2Own 賽事主辦方 Zero Day Initiative 的“私下披露獎勵政策”，目前暫可推定它是安全的。

相關(guān)文章:

3月份近90%的網(wǎng)絡(luò)攻擊是針對俄羅斯和烏克蘭的

烏克蘭宣稱挫敗了Sandworm黑客組織想要攻擊該國能源供應(yīng)商的企圖

在ESET和微軟幫助下 烏克蘭成功阻止針對能源設(shè)施的網(wǎng)絡(luò)攻擊