نتایج Pwn2Own Toronto 2022

Pwn2Own

Pwn2Own Toronto 2022 در 9 دسامبر برگزار شد

نتایج چهار روز مسابقه Pwn2Own Toronto 2022 که طی آن 63 آسیب‌پذیری ناشناخته (0 روزه) در دستگاه‌های تلفن همراه، چاپگرها، بلندگوهای هوشمند، سیستم‌های ذخیره‌سازی و روترها نشان داده شد، در پستی منتشر شد.

برای کسانی که از Pwn2Own بی اطلاع هستند، باید بدانید که این یک مسابقه هک است که هر ساله در کنفرانس امنیتی CanSecWest برگزار می شود. اولین بار در آوریل 2007 در ونکوور برگزار شد.

در این دوره جدید مسابقه، 36 تیم امنیتی و محقق شرکت کردند. موفق ترین تیم DEVCORE توانست 142 دلار آمریکا را از این رقابت برنده شود. برندگان مقام دوم (تیم ویتل) 82,000 دلار و برندگان مقام سوم (گروه NCC) 78,000 دلار دریافت کردند.

در طول این رقابت، 26 تیم امنیتی و محقق بر روی دستگاه‌هایی در دسته‌های تلفن همراه، هاب‌های اتوماسیون خانگی، چاپگرها، روترهای بی‌سیم، فضای ذخیره‌سازی متصل به شبکه و بلندگوهای هوشمند تمرکز کرده‌اند که همگی به‌روز و در تنظیمات پیش‌فرض خود هستند.

"و ما تمام شدیم! تمام نتایج روز چهارم در زیر آمده است. ما امروز 55,000 دلار دیگر اهدا می کنیم که مجموع مسابقه خود را به 989,750 دلار می رساند. در طول مسابقه، ما 63 روز صفر منحصر به فرد را خریداری کردیم. عنوان Master of Pwn به پایان رسید، اما تیم DEVCORE دومین عنوان خود را با درآمد 142,500 دلار و 18.5 امتیاز کسب کرد. پست منتشر شده توسط ZDI را بخوانید. تیم ویتل و گروه NCC به ترتیب با 16,5 و 15,5 امتیاز بسیار نزدیک بودند. به همه شرکت کنندگان و برندگان Pwn2Own تبریک می گویم.

در روز چهارم مسابقه، محقق کریس آناستازیو سرریز بافر مبتنی بر پشته را در برابر چاپگر Lexmark نشان داد. او برنده 10,000 دلار و 1 امتیاز Master of Pwn شد.

در طول مسابقه، حملاتی که منجر به اجرای کد از راه دور بر روی دستگاه‌ها می‌شد نشان داده شد:

  • چاپگر Canon imageCLASS MF743Cdw (11 حمله موفق، 5,000 دلار و 10,000 دلار پاداش).
  • چاپگر Lexmark MC3224i (8 حمله، 7500 دلار، 10000 دلار و 5000 دلار حق بیمه).
  • چاپگر HP Color LaserJet Pro M479fdw (5 حمله، 5,000 دلار، 10,000 دلار و 20,000 دلار پاداش).
  • بلندگوی هوشمند Sonos One Speaker (3 حمله، 22,500 دلار و 60,000 دلار پاداش).
  • Synology DiskStation DS920+ NAS (دو حمله، 40 دلار و 000 دلار حق بیمه).
  • WD My Cloud Pro PR4100 NAS (3 جایزه 20 دلاری و یک جایزه 000 دلاری).
  • روتر Synology RT6600ax (5 حمله WAN با حق بیمه 20 دلار و دو حق بیمه 000 دلار و 5000 دلار برای یک حمله LAN).
  • روتر خدمات مجتمع سیسکو C921-4P (37,500 دلار).
  • روتر Mikrotik RouterBoard RB2011UiAS-IN (100 دلار پاداش برای هک چند مرحله ای: ابتدا روتر میکروتیک مورد حمله قرار گرفت و سپس پس از دسترسی به LAN، چاپگر کانن).
  • روتر NETGEAR RAX30 AX2400 (7 حمله، 1250 دلار، 2500 دلار، 5000 دلار، 7500 دلار، 8500 دلار و 10000 دلار پاداش).
  • روتر TP-Link AX1800/Archer AX21 (حمله WAN 20 دلار حق بیمه و LAN حمله 000 دلار حق بیمه).
  • روتر Ubiquiti EdgeRouter X SFP (50,000 دلار).
  • گوشی هوشمند Samsung Galaxy S22 (4 حمله، سه جایزه 25,000 دلاری و یک جایزه 50,000 دلاری).

علاوه بر حملات موفق قبلی، 11 تلاش برای بهره برداری از آسیب پذیری ها شکست خورد. از آنجایی که در طول مسابقه، جوایزی برای هک آیفون 13 اپل و پیکسل 6 گوگل نیز ارائه شد، اما هیچ برنامه‌ای برای حمله وجود نداشت، اگرچه حداکثر پاداش برای تهیه یک اکسپلویت که امکان اجرای کد در سطح هسته را برای این دستگاه‌ها می‌دهد، 250.000 هزار دلار بود.

شایان ذکر است که جوایز ارائه شده توسط هک سیستم های اتوماسیون خانگی Amazon Echo Show 15، Meta Portal Go، و Google Nest Hub Max، و همچنین Apple HomePod Mini، Amazon Echo Studio و بلندگوهای هوشمند Google Nest Audio، که پاداش هک 60,000 دلار بود.

برای بخشی از آسیب‌پذیری‌های نشان‌داده‌شده در مؤلفه‌های مختلف، مشکلات هنوز طبق شرایط مسابقه به‌صورت عمومی گزارش نمی‌شوند، اطلاعات دقیق درباره تمام آسیب‌پذیری‌های 0 روزه نشان‌داده‌شده تنها پس از 120 روز منتشر می‌شود. برای آماده سازی به روز رسانی توسط سازندگان برای از بین بردن آسیب پذیری ها ارائه شده است.

در این حملات از آخرین سیستم عامل و سیستم عامل با تمام به روز رسانی های موجود و تنظیمات پیش فرض استفاده شده است. مبلغ کل غرامت پرداخت شده 934.750 دلار بود.

سرانجام اگر شما علاقه مند به دانستن بیشتر در مورد آن هستید در مورد این نسخه جدید Pwn2Own، می توانید جزئیات را ببینید در لینک زیر.


اولین کسی باشید که نظر

نظر خود را بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخشهای موردنیاز علامتگذاری شدهاند با *

*

*

  1. مسئول داده ها: میگل آنخل گاتون
  2. هدف از داده ها: کنترل هرزنامه ، مدیریت نظرات.
  3. مشروعیت: رضایت شما
  4. ارتباط داده ها: داده ها به اشخاص ثالث منتقل نمی شوند مگر با تعهد قانونی.
  5. ذخیره سازی داده ها: پایگاه داده به میزبانی شبکه های Occentus (EU)
  6. حقوق: در هر زمان می توانید اطلاعات خود را محدود ، بازیابی و حذف کنید.