2022秋季 Pwn2Own 駭客大賽突顯家用裝置推升企業資安風險的現況
【2022 年 12 月 29 日台北訊】全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 公布 Zero Day Initiative (ZDI) 漏洞懸賞計畫的秋季 Pwn2Own 駭客大賽優勝者。整場活動總共頒發高達 989,750 美元的獎金,收購了 63 個非重複零時差漏洞。這些漏洞若被不肖駭客開發成武器,其造成的時間、資料與財物損失可能為世界帶來 10 倍的衝擊。
了解有關 Pwn2Own Toronto 駭客大賽的更多資訊以及決賽優勝者
趨勢科技 ZDI 威脅意識提升總監 Dustin Childs 指出:「身為一家資安廠商,我們不僅有責任保護我們的客戶,同時也有義務讓我們生活和工作的數位連網世界變得更安全。今年的 Pwn2Own 揭露了大量的漏洞,徹底實踐了這項使命,但也突顯出分散式人力所造成日益嚴重的資安威脅。」
根據民調機構 Gallup (蓋洛普) 估計,目前美國約有 80% 的員工有部分或全部時間在家上班。然而,在這樣的情況之下,萬一家中的路由器、智慧喇叭、印表機、網路儲存裝置 (NAS) 等裝置沒有做好安全防護措施,很可能會擴大企業的受攻擊面。今年發生好幾起 Deadbolt 勒索病毒入侵全球 NAS 裝置事件即突顯企業正面臨的潛在風險。
此外,駭客還可透過已駭入的小型/家庭辦公室 (SOHO) 連網裝置作為跳板,在網路內部四處遊走,進而找到一個連上企業資源的裝置。
這正是為何今年秋季 Pwn2Own 駭客大賽會特別設計了一個名為「SOHO Smashup」的類別,考驗駭客入侵 Wi-Fi 路由器與連網裝置的能力。只要參賽者能在 30 分鐘內同時取得兩種裝置的完整控制權,就能贏得 10 萬美元與 10 點駭客大師 (Master of Pwn) 點數。
家用裝置的漏洞一旦經由 Pwn2Own 賽事及趨勢科技 ZDI 揭露,就會納入趨勢科技威脅情報以保護著日益交錯的消費性網路與企業網路。就在業界致力提升 SOHO 裝置的風險意識之際,政府部門也採取了一些行動來提升消費者的信心,因為這類技術的資安責任經常成為員工與企業之間互踢皮球的情況。
歐盟已經提案立法要求連網裝置廠商須為裝置提供最低限度的安全性,至於美國則是預備推出如能源之星 (Energy Star) 的新標示系統。
今年的 Pwn2Own 已於 2022 年 12 月 6 日至 8 日在趨勢科技加拿大多倫多 (Toronto) 辦公室順利落幕,針對親自參加的隊伍,趨勢科技提供了高達 3,000 美元的差旅補助。至於無法親自到場的隊伍,則是從遠端參賽。
本屆拿下駭客大師 (Master of Pwn) 最高榮耀的隊伍是 DEVCORE,成績為 18.5 分,共獲得142,500 美元的獎金。以下是這次優勝的前五名:
如欲了解有關 Pwn2Own 的更多資訊以及本次活動的亮點,請參閱 ZDI 部落格。