由臺灣資安公司戴夫寇爾資安研究員Orange Tsai 及Meh Chang兩人聯手揭露的Pulse Secure及其他SSL VPN產品的漏洞,因為影響企業資安層面深廣,打敗微軟Bluekeep漏洞,獲得漏洞界奧斯卡獎Pwnie Awards「最佳伺服器漏洞獎」的肯定。

圖片來源: 

戴夫寇爾提供

黑帽大會每年都會舉辦漏洞界奧斯卡獎的Pwnie Awards獎項,事先會提名年度最棒(Excellence)以及最爛(Incompetence)的漏洞,並於黑帽大會中頒獎。臺灣資安公司戴夫寇爾資安研究員Orange Tsai與Meh Chang揭露的Pulse Secure及其他SSL VPN產品漏洞以及入侵與利用手法,則獲得2019年年度最佳伺服器漏洞的肯定。這也是全臺灣第一個獲得Pwnie Awards獎項肯定的資安研究員。

Pulse Secure的SSL VPN產品漏洞獲漏洞界奧斯卡獎最佳伺服器端漏洞肯定

許多駭客會利用各式各樣的漏洞去控制各種伺服器,而這種稱之為PWN的手法,每年在黑帽大會上則藉由舉辦Pwnie Awards的方式,肯定許多優秀的資安研究人員。而Pwnie的發音同Pony(小馬)的發音,所以得獎者象徵則是一匹可愛的玩具小馬。

此次,在這個黑帽大會年度漏洞奧斯卡獎上,獲得最佳伺服器漏洞獎五個提名的入圍者包括:Orange Tsai先前發掘的Jenkins RCE漏洞;Qualys資安團隊揭露的免費電郵服務Exim的RCE漏洞;資安研究員Stefan Viehböck所揭露中國雄邁IP Cam(網路監視器)韌體沒有更新成為駭客肉雞的漏洞;以及微軟日前所揭露,舊版Windows遠端桌面服務存在重大漏洞BlueKeep,可能引發類似WannaCry的災情的漏洞(CVE-2019-0708),都是今年影響甚大的伺服器端漏洞。

伺服器端漏洞第五個提名者則是由臺灣資安資安公司戴夫寇爾(Devcore)資安研究員Orange Tsai與Meh Chang共同揭露,包括Pulse Secure及其他SSL VPN的產品漏洞。由於這個漏洞對於很多企業,都帶來許多重大的資安風險,因此,在今年黑帽大會Pwnie Awards的頒獎大會中,Pulse Secure的SSL VPN產品漏洞,則獲得年度最佳伺服器漏洞獎的肯定。

華碩電腦更新伺服器遭駭客入侵,獲得漏洞界金酸莓獎提名

當然,如同電影界有肯定努力的奧斯卡獎,也有反串的金酸莓獎,在漏洞界中也不例外。

今年三月,臺灣電腦製造商華碩電腦,因為更新伺服器遭到駭客入侵,並由資安公司卡巴斯基揭露這起命名為暗影之鎚(ShadowHammer)的資安事件,則入圍「史詩般失敗」(pwnie for most epic fail)的金酸莓獎的入圍提名,這也真實諷刺華碩電腦只會製造卻不懂資安的現實。

「史詩般失敗」獎項最終的得獎者是,彭博資訊(Bloomberg)報導包括美商Super Micro(超微)的主機板上,被植入米粒大小的間諜晶片的報導。但這則報導遭到各方的強烈否定,加上彭博資訊也無法拿出足夠證據。這如同科幻小說般情節的報導,則獲得Pwnie Awards金酸莓獎的肯定。

所幸,華碩電腦暗影之鎚的資安事件最終並沒有獲獎,不然的話,就可能會出現,臺灣資安研究者傑出研究得到Pwnie Awards奧斯卡獎最佳伺服器端漏洞獎的肯定,卻同時有最Pwnie Awards金酸莓獎、最無能公司得獎的證明。

 

 


Advertisement

更多 iThome相關內容