12月29日,2022“补天杯”破解大赛决赛在线上进行。资格审核阶段,在所有报名的项目中最终选择了10个项目进入复赛,经过专家评审、漏洞复现环节,主办方公布了最终获奖名单:W0rk凭借发现的某国际知名厂商防火墙漏洞获得一等奖,Rivaille凭借发现的某企业级路由器漏洞获得二等奖,balisong凭借提交的NAS设备漏洞获得三等奖。
购物、出行、家居……本届“补天杯”破解大赛提交的漏洞深入到了生活中的细节。除常见的企业级防火墙、路由器、NAS设备外,还涉及了智能U型锁、电动滑板车、扫码枪、全套智能家居相关,包括扫地机器人、台灯、音响等生活中常见的场景和物品。
本次比赛中,选手们提交了更多“无感”漏洞,而这些漏洞可造成的损失和影响范围却不容小觑:利用某国际厂商的防火墙漏洞,可自由进出企业环境获取用户资料、企业机密信息,且该厂商服务于大多数世界500强企业,一旦被不法分子利用,造成的损失将难以估量;在扫码支付盛行的当下,扫码枪漏洞不仅可在用户付款时直接转走用户钱款,商家不会收到一分钱,攻击者甚至还能借助漏洞直接修改扫码金额,商家和用户均受损失,而攻击者全程“隐身”卷走钱款;在无需接入受害者家庭局域网的情况下,利用设备漏洞可以实现对智能家居设备的远程任意控制,甚至可以攻击该品牌全网的智能家居设备。无论是企业级设备还是家庭用设备,漏洞数量都在猛增。
“补天杯”破解大赛相关负责人表示,随着物联网设备数量的指数级增长,漏洞数量也必然攀升。与此同时,政策规定的不断完善,也明确了产品开发商、产品服务商、漏洞发现者、漏洞发布者等各类主体的责任和义务,对于厂商和安全人员都提出了更高的要求。举办“补天杯”破解大赛的目的,就是希望通过竞赛方式搭建平台,一方面引起厂商对网络安全的重视,并主动提升自身安全能力;另一方面鼓励白帽人才发展,促进网络安全人才培养,为网络强国建设培养力量。
“补天杯”破解大赛主办方补天平台,是专注于漏洞响应的第三方公益平台,跻身全球三大漏洞平台之列。截止目前,补天平台入驻白帽专家数量已超过10.5万人,报告漏洞总数超过108万,影响企业数量33万家。补天平台也先后多次被公安部、国家信息安全漏洞共享平台(CNVD)、国家信息安全漏洞库(CNNVD)分别评定为技术支持先进单位、漏洞信息报送突出贡献单位和一级技术支撑单位,补天平台多名精英白帽还获评CNVD年度十强白帽和优秀个人。