Pwn2Own Toronto 2022 Eredmények

Darkcrizt

4 perc

Pwn2Own

A Pwn2Own Toronto 2022-t december 9-én rendezték meg

Posztban tették közzé a Pwn2Own Toronto 2022 verseny négynapos eredményeit, amelyek során 63 eddig ismeretlen (0 napos) biztonsági rést mutattak be mobileszközökben, nyomtatókban, okoshangszórókban, tárolórendszerekben és útválasztókban.

Azok számára, akik nem ismerik a Pwn2Ownt, tudniuk kell, hogy ez egy hackerverseny, amelyre évente kerül sor a CanSecWest biztonsági konferencián. Először 2007 áprilisában került megrendezésre Vancouverben.

A verseny új kiadásában 36 biztonsági csapat és kutató vett részt. A legsikeresebb DEVCORE csapat 142 82,000 USD-t tudott nyerni a versenyen. A második helyezettek (Team Viettel) 78,000 XNUMX dollárt, a harmadik helyezettek (NCC csoport) XNUMX XNUMX dollárt kaptak.

A verseny során 26 biztonsági csapat és kutató összpontosított a mobiltelefonok, otthoni automatizálási központok, nyomtatók, vezeték nélküli útválasztók, hálózatra csatlakoztatott tárolók és intelligens hangszórók kategóriájába tartozó eszközökre, amelyek mindegyike naprakész és alapértelmezett beállításokkal rendelkezik.

"És kész is vagyunk! A negyedik nap összes eredménye alább található. Ma újabb 55,000 989,750 dollárt osztunk ki, így a versenyünk összértéke 63 142,500 dollár. A verseny során 18.5 egyedi nulladik napot vásároltunk. A Master of Pwn cím egészen végig ment, de a DEVCORE csapat megszerezte második címét 16,5 15,5 dolláros bevétellel és 2 ponttal.” olvasható a ZDI által közzétett bejegyzésben. „A Viettel csapata és az NCC csoport nagyon közel állt egymáshoz XNUMX, illetve XNUMX ponttal. Gratulálunk minden PwnXNUMXOwn versenyzőnek és nyertesnek.”

A verseny negyedik napján Chris Anastasio kutató egy kupac alapú puffertúlcsordulást mutatott be a Lexmark nyomtatóval szemben. 10,000 1 dollárt és XNUMX Master of Pwn pontot nyert.

A verseny során olyan támadásokat mutattak be, amelyek távoli kódfuttatáshoz vezettek az eszközökön:

  • Canon imageCLASS MF743Cdw nyomtató (11 sikeres támadás, 5,000 és 10,000 XNUMX dolláros bónuszok).
  • Lexmark MC3224i nyomtató (8 támadás, 7500 dollár, 10000 5000 dollár és XNUMX XNUMX dollár prémium).
  • HP Color LaserJet Pro M479fdw nyomtató (5 támadás, 5,000 dollár, 10,000 20,000 dollár és XNUMX XNUMX dollár bónusz).
  • Sonos One Speaker Smart Speaker (3 támadás, 22,500 60,000 dollár és XNUMX XNUMX dollár bónusz).
  • Synology DiskStation DS920+ NAS (két támadás, 40 000 USD és 20 000 USD prémium).
  • WD My Cloud Pro PR4100 NAS (3 nyeremény 20 000 USD és egy 40 000 USD).
  • Synology RT6600ax Router (5 WAN-támadás 20 000 dolláros díjjal, valamint két 5000 dolláros és 1250 dolláros prémium egy LAN-támadásért).
  • Cisco C921-4P Integrated Services Router (37,500 XNUMX USD).
  • Mikrotik RouterBoard RB2011UiAS-IN router (100 000 dollár bónusz többlépcsős hackelésért: először a Mikrotik routert támadták meg, majd a LAN-hoz való hozzáférés után a Canon nyomtatót).
  • NETGEAR RAX30 AX2400 Router (7 támadás, 1250 dollár, 2500 dollár, 5000 dollár, 7500 dollár, 8500 dollár és 10000 XNUMX dollár bónusz).
  • TP-Link AX1800/Archer AX21 router (WAN támadás 20 000 dollár prémium és LAN támadás 5000 XNUMX dollár prémium).
  • Ubiquiti EdgeRouter X SFP router (50,000 XNUMX dollár).
  • Samsung Galaxy S22 okostelefon (4 támadás, három 25,000 50,000 dolláros és egy XNUMX XNUMX dolláros nyeremény).

A korábbi sikeres támadások mellett A sebezhetőségek kihasználására 11 kísérlet sikertelen volt. Mivel a verseny ideje alatt az Apple iPhone 13 és a Google Pixel 6 feltöréséért is felajánlottak jutalmat, de támadásra nem jelentkeztek, bár a kernelszintű kód futtatását lehetővé tévő exploit előkészítésének maximális díja 250.000 XNUMX dollár volt.

Érdemes ezt megemlíteni által felajánlott jutalmakat otthoni automatizálási rendszereket feltörni Amazon Echo Show 15, Meta Portal Go és Google Nest Hub Max, valamint Apple HomePod Mini, Amazon Echo Studio és Google Nest Audio okoshangszórók, amelyért 60,000 XNUMX dollár volt a hack jutalom.

A különböző komponensekben kimutatott sebezhetőségek részéről a problémákat a verseny feltételei szerint még nem jelentik be nyilvánosan, az összes kimutatott 0 napos sérülékenységről csak 120 nap elteltével tesszük közzé a részletes információkat. a gyártók által a biztonsági réseket kiküszöbölő frissítések előkészítésére adják.

A támadások a legújabb firmware-t és operációs rendszert használták az összes elérhető frissítéssel és alapértelmezett beállítással. A kifizetett kártérítés teljes összege 934.750 XNUMX dollár volt.

Végül ha érdekel, hogy többet tudjon meg róla A Pwn2Own új kiadásával kapcsolatban tájékozódhat a részletekről A következő linken.


Hagyja megjegyzését

E-mail címed nem kerül nyilvánosságra. Kötelező mezők vannak jelölve *

*

*

  1. Az adatokért felelős: Miguel Ángel Gatón
  2. Az adatok célja: A SPAM ellenőrzése, a megjegyzések kezelése.
  3. Legitimáció: Az Ön beleegyezése
  4. Az adatok közlése: Az adatokat csak jogi kötelezettség alapján továbbítjuk harmadik felekkel.
  5. Adattárolás: Az Occentus Networks (EU) által üzemeltetett adatbázis
  6. Jogok: Bármikor korlátozhatja, helyreállíthatja és törölheti adatait.