Pwn2Own là cuộc thi tấn công mạng do Trend Micro tài trợ và Zero Day Initiative tổ chức. Sự kiện thường niên này nhằm mục đích tìm kiếm các lỗ hổng bảo mật chưa xác định dành cho các hacker trên toàn thế giới. Cuộc thi lần này lấy chủ đề mạng công nghiệp và được tổ chức tại Miami, với bốn danh mục: Máy chủ OPC Unified Architecture (OPC UA server), Máy khách OPC UA, Cổng dữ liệu (Data Gateway) và Hệ thống Edge. 

Lần đầu tham gia cuộc thi, đội ngũ kỹ thuật của ECQ đã khai thác thành công hai lỗ hổng zero-day trong hệ thống điều khiển công nghiệp (ICS) và hệ thống giám sát và điều khiển dữ liệu (SCADA), đạt tổng 25 Master of Pwn và giành giải thưởng 25.000 USD.

ECQ chinh phục thành công hai mục tiêu. Nguồn: Trend Micro

Cụ thể, đối với mục tiêu đầu tiên vào ngày 14/2 là ứng dụng Softing edgeConnector Siemens thuộc danh mục OPC UA server. ECQ đã tiến hành khai thác lỗ hổng Null Pointer Dereference để tấn công từ chối dịch vụ (denial-of-service). Các lỗ hổng DOS rất quan trọng vì các sản phẩm ICS đề cao tính khả dụng của hệ thống.

Đến với mục tiêu thứ hai là Triangle Microworks SCADA Data Gateway thuộc danh mục Data Gateway, ECQ kết hợp chuỗi ba lỗ hổng để hoàn thành tấn công thực thi mã từ xa (Remote Code Execution). Đội đã thành công trong việc thực thi mã tùy ý trên máy chủ cài đặt ứng dụng.

Chia sẻ về cuộc thi Pwn2Own năm nay, ông Nguyễn Hải Đăng - Giám đốc ECQ Vietnam cho biết: “Pwn2Own là cuộc thi bảo mật lớn và nổi tiếng trên toàn thế giới. Với chủ đề mạng công nghiệp (ICS/SCADA) đầy thách thức, đội ngũ ECQ đã có cơ hội cọ xát, trau dồi thêm kinh nghiệm thực tiễn. Tôi tự hào về những thành tựu mà các bạn đã đạt được trong cuộc thi và trân trọng khi được cùng làm việc với các bạn”. 

 Kết quả chung cuộc Pwn2Own Miami 2023. Nguồn: Trend Micro

Đây không phải là lần đầu tiên ECQ tham gia tranh tài tại một cuộc thi bảo mật về lĩnh vực mạng công nghiệp. Vào năm 2019, ECQ cùng SkillSpar đã tham gia “Cybersecurity Industry Call for Innovation” (Kêu gọi Đổi mới trong ngành An ninh mạng) tổ chức ở Singapore và nhận được giải thưởng trị giá 500.000 SGD cho sáng kiến Hệ thống mô phỏng tấn công APT và khắc phục sự cố (Automated Attack Simulation and Remediation) cho ICS/SCADA. 

ECQ là một công ty an ninh mạng cung cấp các dịch vụ và giải pháp bảo mật tấn công, tập trung vào tấn công và phòng thủ chủ động. Kể từ khi thành lập, ECQ cung cấp các dịch vụ tư vấn bảo mật cao cấp cho khách hàng trong nhiều ngành khác nhau, bao gồm lĩnh vực tài chính, cơ sở hạ tầng trọng yếu, các nhà cung cấp dịch vụ và các cơ quan chính phủ.

Website: https://e-cq.net

Quỳnh Anh