Pwn2Own Toronto 2022 resultater

Darkcrizt

4 minutter

Pwn2Own

Pwn2Own Toronto 2022 blev afholdt den 9. december

Resultaterne af de fire dage af Pwn2Own Toronto 2022-konkurrencen, hvor 63 hidtil ukendte (0-dages) sårbarheder blev demonstreret i mobile enheder, printere, smarthøjttalere, lagersystemer og routere, blev offentliggjort i et indlæg.

For dem, der ikke kender til Pwn2Own, skal du vide, at dette er en hacking-konkurrence, der finder sted årligt på CanSecWest-sikkerhedskonferencen. Første gang afholdt i april 2007 i Vancouver.

I denne nye udgave af konkurrencen deltog 36 sikkerhedsteams og forskere. Det mest succesrige DEVCORE-hold formåede at vinde US$142 fra konkurrencen. Andenpladsvindere (Team Viettel) modtog $82,000 og tredjepladsvindere (NCC-gruppe) modtog $78,000.

I løbet af denne konkurrence har 26 sikkerhedsteams og forskere fokuseret på enheder i kategorierne mobiltelefoner, hjemmeautomatiseringshubs, printere, trådløse routere, netværkstilsluttet lagring og smarthøjttalere, alt sammen opdateret og i deres standardindstillinger.

"Og vi er færdige! Alle resultaterne fra dag fire er nedenfor. Vi uddeler yderligere $55,000 i dag, hvilket bringer vores konkurrence i alt op på $989,750. Under konkurrencen købte vi 63 unikke nul-dage. Master of Pwn-titlen gik hele vejen, men DEVCORE-holdet hævdede deres anden titel med en indtjening på $142,500 og 18.5 point." læs indlægget udgivet af ZDI. “Viettel-holdet og NCC-gruppen var meget tætte med henholdsvis 16,5 og 15,5 point. Tillykke til alle Pwn2Own-deltagere og vindere."

På konkurrencens fjerde dag demonstrerede forsker Chris Anastasio et heap-baseret bufferoverløb mod Lexmark-printeren. Han vandt $10,000 og 1 Master of Pwn point.

Under konkurrencen blev angreb, der førte til fjernudførelse af kode på enheder, demonstreret:

  • Canon imageCLASS MF743Cdw Printer (11 vellykkede angreb, $5,000 og $10,000 bonusser).
  • Lexmark MC3224i-printer (8 angreb, 7500 USD, 10000 USD og 5000 USD præmier).
  • HP Color LaserJet Pro M479fdw-printer (5 angreb, $5,000, $10,000 og $20,000 bonusser).
  • Sonos One Speaker Smart Speaker (3 angreb, $22,500 og $60,000 bonusser).
  • Synology DiskStation DS920+ NAS (to angreb, præmier på $40 og $000).
  • WD My Cloud Pro PR4100 NAS (3 præmier på $20 og en præmie på $000).
  • Synology RT6600ax Router (5 WAN-angreb med præmier på $20 og to præmier på $000 og $5000 for ét LAN-angreb).
  • Cisco C921-4P Integrated Services Router ($37,500).
  • Mikrotik RouterBoard RB2011UiAS-IN router ($100 bonus for multi-stage hacking: Mikrotik router blev først angrebet, og derefter, efter at have fået adgang til LAN, Canon-printeren).
  • NETGEAR RAX30 AX2400 Router (7 angreb, $1250, $2500, $5000, $7500, $8500 og $10000 bonusser).
  • TP-Link AX1800/Archer AX21 router (WAN-angreb $20 premium og LAN-angreb $000 premium).
  • Ubiquiti EdgeRouter X SFP-router ($50,000).
  • Samsung Galaxy S22 smartphone (4 angreb, tre præmier på $25,000 og en præmie på $50,000).

Ud over tidligere vellykkede angreb, 11 forsøg på at udnytte sårbarheder mislykkedes. Da der under konkurrencen også blev tilbudt belønninger for at hacke Apples iPhone 13 og Googles Pixel 6, men der var ingen ansøgninger om angreb, selvom den maksimale belønning for at forberede en udnyttelse, der gør det muligt at udføre kode på kerneniveau for disse enheder, var på $250.000.

Det er værd at nævne det heller ikke belønningerne blev tilbudt af hacke hjemmeautomatiseringssystemer Amazon Echo Show 15, Meta Portal Go og Google Nest Hub Max samt Apple HomePod Mini, Amazon Echo Studio og Google Nest Audio-smarthøjttalere, som hack-belønningen var $60,000 for.

For den del af de påviste sårbarheder i de forskellige komponenter vil problemerne endnu ikke blive rapporteret offentligt i henhold til konkurrencevilkårene, de detaljerede oplysninger om alle de påviste 0-dages sårbarheder vil først blive offentliggjort efter 120 dage, hvilket de er givet til udarbejdelse af opdateringer af producenter for at eliminere sårbarheder.

Angrebene brugte den nyeste firmware og operativsystemer med alle tilgængelige opdateringer og standardindstillinger. Det samlede erstatningsbeløb var $934.750.

Endelig hvis du er interesseret i at vide mere om det om denne nye udgave af Pwn2Own, kan du se detaljerne I det følgende link.


Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.