Резултатите от четирите дни на състезанието Pwn2Own Toronto 2022, по време на които бяха демонстрирани 63 неизвестни досега (0-ден) уязвимости в мобилни устройства, принтери, интелигентни високоговорители, системи за съхранение и рутери, бяха публикувани в публикация.
За тези, които не знаят за Pwn2Own, трябва да знаете, че това е състезание за хакерство, което се провежда ежегодно на конференцията за сигурност CanSecWest. За първи път се проведе през април 2007 г. във Ванкувър.
В това ново издание на състезанието участваха 36 екипа по сигурността и изследователи. Най-успешният отбор на DEVCORE успя да спечели $142 82,000 от състезанието. Победителите на второ място (отбор Viettel) получиха $78,000 XNUMX, а победителите на трето място (NCC group) получиха $XNUMX XNUMX.
По време на това състезание 26 екипа и изследователи по сигурността се фокусираха върху устройства в категориите мобилни телефони, хъбове за домашна автоматизация, принтери, безжични рутери, мрежово съхранение и интелигентни високоговорители, всички актуални и в настройките си по подразбиране.
„И ние сме готови! Всички резултати от ден четвърти са по-долу. Днес присъждаме още $55,000 989,750, с което общо за конкурса ни достига $63 142,500. По време на конкурса закупихме 18.5 уникални нулеви дни. Титлата Master of Pwn стигна докрай, но екипът на DEVCORE спечели втората си титла с приходи от $16,5 15,5 и 2 точки.“ прочетете публикацията, публикувана от ZDI. „Отборът на Viettel и групата на NCC бяха много близо с XNUMX и XNUMX точки съответно. Поздравления за всички състезатели и победители в PwnXNUMXOwn.“
На четвъртия ден от състезанието изследователят Крис Анастасио демонстрира препълване на буфер на базата на купчина срещу принтера на Lexmark. Той спечели $10,000 1 и XNUMX Master of Pwn точка.
По време на състезанието бяха демонстрирани атаки, довели до дистанционно изпълнение на код на устройства:
- Принтер Canon imageCLASS MF743Cdw (11 успешни атаки, $5,000 10,000 и $XNUMX XNUMX бонуси).
- Принтер Lexmark MC3224i (8 атаки, $7500, $10000 5000 и $XNUMX премии).
- Принтер HP Color LaserJet Pro M479fdw (5 атаки, $5,000 10,000, $20,000 XNUMX и $XNUMX XNUMX бонуси).
- Sonos One Speaker Smart Speaker (3 атаки, $22,500 60,000 и $XNUMX XNUMX бонуси).
- Synology DiskStation DS920+ NAS (две атаки, $40 000 и $20 000 премии).
- WD My Cloud Pro PR4100 NAS (3 награди от $20 000 и една награда от $40 000).
- Рутер Synology RT6600ax (5 WAN атаки с премии от $20 000 и две премии от $5000 и $1250 за една LAN атака).
- Cisco C921-4P рутер с интегрирани услуги ($37,500 XNUMX).
- Рутер Mikrotik RouterBoard RB2011UiAS-IN (бонус от $100 000 за многоетапно хакване: Първо беше атакуван рутерът Mikrotik, а след това, след получаване на достъп до LAN, принтерът на Canon).
- Рутер NETGEAR RAX30 AX2400 (7 атаки, $1250, $2500, $5000, $7500, $8500 и $10000 XNUMX бонуси).
- TP-Link AX1800/Archer AX21 рутер (WAN атака $20 000 премия и LAN атака $5000 XNUMX премия).
- Ubiquiti EdgeRouter X SFP рутер ($50,000 XNUMX).
- Смартфон Samsung Galaxy S22 (4 атаки, три награди от $25,000 50,000 и една награда от $XNUMX XNUMX).
В допълнение към предишните успешни атаки, 11 опита за използване на уязвимости са неуспешни. Тъй като по време на състезанието бяха предложени награди и за хакване на iPhone 13 на Apple и Pixel 6 на Google, но нямаше приложения за атаки, въпреки че максималната награда за подготовка на експлойт, който позволява изпълнение на код на ниво ядро за тези устройства, беше 250.000 XNUMX долара.
Струва си да се спомене това наградите, предлагани от хакване на системи за домашна автоматизация Amazon Echo Show 15, Meta Portal Go и Google Nest Hub Max, както и смарт високоговорители Apple HomePod Mini, Amazon Echo Studio и Google Nest Audio, за което наградата за хакване беше $60,000 XNUMX.
За частта от демонстрираните уязвимости в различните компоненти, проблемите все още няма да бъдат докладвани публично според условията на конкурса, подробната информация за всички демонстрирани 0-дневни уязвимости ще бъде публикувана едва след 120 дни, които са дадени за подготовка на актуализации от производителите за отстраняване на уязвимости.
Атаките са използвали най-новия фърмуер и операционни системи с всички налични актуализации и настройки по подразбиране. Общата сума на изплатеното обезщетение е 934.750 XNUMX долара.
Накрая ако се интересувате да научите повече за това относно това ново издание на Pwn2Own, можете да се консултирате с подробности В следващия линк.