ECQ chinh phục thành công hai mục tiêu. Nguồn: Trend Micro
Cụ thể, đối với mục tiêu đầu tiên vào ngày 14.2 là ứng dụng Softing edgeConnector Siemens thuộc danh mục OPC UA server. ECQ đã tiến hành khai thác lỗ hổng Null Pointer Dereference để tấn công từ chối dịch vụ (denial-of-service). Các lỗ hổng DOS rất quan trọng vì các sản phẩm ICS đề cao tính khả dụng của hệ thống.
Đến với mục tiêu thứ hai vào ngày tiếp theo là Triangle Microworks SCADA Data Gateway thuộc danh mục Data Gateway, ECQ kết hợp chuỗi ba lỗ hổng để hoàn thành tấn công thực thi mã từ xa (Remote Code Execution). Đội đã thành công trong việc thực thi mã tùy ý trên máy chủ cài đặt ứng dụng.
Chia sẻ về cuộc thi Pwn2Own năm nay, ông Nguyễn Hải Đăng - Giám đốc ECQ Vietnam cho biết: "Pwn2Own là cuộc thi bảo mật lớn và nổi tiếng trên toàn thế giới. Với chủ đề mạng công nghiệp (ICS/SCADA) đầy thách thức, đội ngũ ECQ đã có cơ hội cọ xát, trau dồi thêm kinh nghiệm thực tiễn. Tôi rất tự hào về những thành tựu mà các bạn đã đạt được trong cuộc thi và rất trân trọng khi được cùng làm việc với các bạn".
Kết quả chung cuộc Pwn2Own Miami 2023. Nguồn: Trend Micro
Được biết, đây không phải là lần đầu tiên ECQ tham gia tranh tài tại một cuộc thi bảo mật về lĩnh vực mạng công nghiệp. Vào năm 2019, ECQ cùng SkillSpar đã tham gia "Cybersecurity Industry Call for Innovation" (Kêu gọi Đổi mới trong ngành An ninh mạng) do Cơ quan An ninh mạng Singapore (CSA) tổ chức và thành công nhận được giải thưởng trị giá 500.000 SGD cho sáng kiến Hệ thống mô phỏng tấn công APT và khắc phục sự cố (Automated Attack Simulation and Remediation) cho ICS/SCADA.
Về Công ty TNHH E-CQURITY VIỆT NAM (ECQ):
ECQ là một Công ty An ninh mạng cung cấp các dịch vụ và giải pháp bảo mật tấn công, tập trung vào tấn công và phòng thủ chủ động. Kể từ khi thành lập, ECQ cung cấp các dịch vụ tư vấn bảo mật cao cấp cho khách hàng trong nhiều ngành khác nhau, bao gồm lĩnh vực tài chính, cơ sở hạ tầng trọng yếu, các nhà cung cấp dịch vụ và các cơ quan chính phủ.
Website: https://e-cq.net
Bình luận (0)