Резултати от Pwn2Own Торонто 2022

Darkcrizt

4 Minutos

Pwn2Own

Pwn2Own Toronto 2022 се проведе на 9 декември

Резултатите от четирите дни на състезанието Pwn2Own Toronto 2022, по време на които бяха демонстрирани 63 неизвестни досега (0-ден) уязвимости в мобилни устройства, принтери, интелигентни високоговорители, системи за съхранение и рутери, бяха публикувани в публикация.

За тези, които не знаят за Pwn2Own, трябва да знаете, че това е състезание за хакерство, което се провежда ежегодно на конференцията за сигурност CanSecWest. За първи път се проведе през април 2007 г. във Ванкувър.

В това ново издание на състезанието участваха 36 екипа по сигурността и изследователи. Най-успешният отбор на DEVCORE успя да спечели $142 82,000 от състезанието. Победителите на второ място (отбор Viettel) получиха $78,000 XNUMX, а победителите на трето място (NCC group) получиха $XNUMX XNUMX.

По време на това състезание 26 екипа и изследователи по сигурността се фокусираха върху устройства в категориите мобилни телефони, хъбове за домашна автоматизация, принтери, безжични рутери, мрежово съхранение и интелигентни високоговорители, всички актуални и в настройките си по подразбиране.

„И ние сме готови! Всички резултати от ден четвърти са по-долу. Днес присъждаме още $55,000 989,750, с което общо за конкурса ни достига $63 142,500. По време на конкурса закупихме 18.5 уникални нулеви дни. Титлата Master of Pwn стигна докрай, но екипът на DEVCORE спечели втората си титла с приходи от $16,5 15,5 и 2 точки.“ прочетете публикацията, публикувана от ZDI. „Отборът на Viettel и групата на NCC бяха много близо с XNUMX и XNUMX точки съответно. Поздравления за всички състезатели и победители в PwnXNUMXOwn.“

На четвъртия ден от състезанието изследователят Крис Анастасио демонстрира препълване на буфер на базата на купчина срещу принтера на Lexmark. Той спечели $10,000 1 и XNUMX Master of Pwn точка.

По време на състезанието бяха демонстрирани атаки, довели до дистанционно изпълнение на код на устройства:

  • Принтер Canon imageCLASS MF743Cdw (11 успешни атаки, $5,000 10,000 и $XNUMX XNUMX бонуси).
  • Принтер Lexmark MC3224i (8 атаки, $7500, $10000 5000 и $XNUMX премии).
  • Принтер HP Color LaserJet Pro M479fdw (5 атаки, $5,000 10,000, $20,000 XNUMX и $XNUMX XNUMX бонуси).
  • Sonos One Speaker Smart Speaker (3 атаки, $22,500 60,000 и $XNUMX XNUMX бонуси).
  • Synology DiskStation DS920+ NAS (две атаки, $40 000 и $20 000 премии).
  • WD My Cloud Pro PR4100 NAS (3 награди от $20 000 и една награда от $40 000).
  • Рутер Synology RT6600ax (5 WAN атаки с премии от $20 000 и две премии от $5000 и $1250 за една LAN атака).
  • Cisco C921-4P рутер с интегрирани услуги ($37,500 XNUMX).
  • Рутер Mikrotik RouterBoard RB2011UiAS-IN (бонус от $100 000 за многоетапно хакване: Първо беше атакуван рутерът Mikrotik, а след това, след получаване на достъп до LAN, принтерът на Canon).
  • Рутер NETGEAR RAX30 AX2400 (7 атаки, $1250, $2500, $5000, $7500, $8500 и $10000 XNUMX бонуси).
  • TP-Link AX1800/Archer AX21 рутер (WAN атака $20 000 премия и LAN атака $5000 XNUMX премия).
  • Ubiquiti EdgeRouter X SFP рутер ($50,000 XNUMX).
  • Смартфон Samsung Galaxy S22 (4 атаки, три награди от $25,000 50,000 и една награда от $XNUMX XNUMX).

В допълнение към предишните успешни атаки, 11 опита за използване на уязвимости са неуспешни. Тъй като по време на състезанието бяха предложени награди и за хакване на iPhone 13 на Apple и Pixel 6 на Google, но нямаше приложения за атаки, въпреки че максималната награда за подготовка на експлойт, който позволява изпълнение на код на ниво ядро ​​за тези устройства, беше 250.000 XNUMX долара.

Струва си да се спомене това наградите, предлагани от хакване на системи за домашна автоматизация Amazon Echo Show 15, Meta Portal Go и Google Nest Hub Max, както и смарт високоговорители Apple HomePod Mini, Amazon Echo Studio и Google Nest Audio, за което наградата за хакване беше $60,000 XNUMX.

За частта от демонстрираните уязвимости в различните компоненти, проблемите все още няма да бъдат докладвани публично според условията на конкурса, подробната информация за всички демонстрирани 0-дневни уязвимости ще бъде публикувана едва след 120 дни, които са дадени за подготовка на актуализации от производителите за отстраняване на уязвимости.

Атаките са използвали най-новия фърмуер и операционни системи с всички налични актуализации и настройки по подразбиране. Общата сума на изплатеното обезщетение е 934.750 XNUMX долара.

Накрая ако се интересувате да научите повече за това относно това ново издание на Pwn2Own, можете да се консултирате с подробности В следващия линк.


Оставете вашия коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

*

*

  1. Отговорен за данните: Мигел Анхел Гатон
  2. Предназначение на данните: Контрол на СПАМ, управление на коментари.
  3. Легитимация: Вашето съгласие
  4. Съобщаване на данните: Данните няма да бъдат съобщени на трети страни, освен по законово задължение.
  5. Съхранение на данни: База данни, хоствана от Occentus Networks (ЕС)
  6. Права: По всяко време можете да ограничите, възстановите и изтриете информацията си.