Hasil Pwn2Own Toronto 2022

Darkcrizt

4 menit

Pwn2Own

Pwn2Own Toronto 2022 diadakan pada 9 Desember

Hasil dari kompetisi Pwn2Own Toronto 2022 selama empat hari, di mana 63 kerentanan yang sebelumnya tidak diketahui (0 hari) ditunjukkan pada perangkat seluler, printer, speaker pintar, sistem penyimpanan, dan router, dirilis dalam sebuah pos.

Bagi mereka yang tidak mengetahui Pwn2Own, Anda harus tahu bahwa ini adalah kontes peretasan yang diadakan setiap tahun di konferensi keamanan CanSecWest. Pertama kali diadakan pada bulan April 2007 di Vancouver.

Dalam kontes edisi baru ini, 36 tim keamanan dan peneliti berpartisipasi. Tim DEVCORE yang paling sukses berhasil memenangkan US$142 dari kompetisi tersebut. Pemenang tempat kedua (Tim Viettel) menerima $82,000 dan pemenang tempat ketiga (grup NCC) menerima $78,000.

Selama kompetisi ini, 26 tim keamanan dan peneliti telah berfokus pada perangkat dalam kategori ponsel, hub otomasi rumah, printer, router nirkabel, penyimpanan yang terhubung ke jaringan, dan speaker cerdas, semuanya mutakhir dan dalam pengaturan standarnya.

"Dan kita selesai! Semua hasil dari Hari Keempat ada di bawah ini. Kami menghadiahkan $55,000 lagi hari ini, sehingga total kontes kami menjadi $989,750. Selama kontes, kami membeli 63 hari nol unik. Gelar Master of Pwn berhasil, tetapi tim DEVCORE merebut gelar kedua mereka dengan penghasilan $142,500 dan 18.5 poin.” baca posting yang diterbitkan oleh ZDI. “Tim Viettel dan grup NCC sangat dekat dengan masing-masing 16,5 dan 15,5 poin. Selamat kepada semua kontestan dan pemenang Pwn2Own.”

Pada hari keempat kompetisi, peneliti Chris Anastasio mendemonstrasikan buffer overflow berbasis heap terhadap printer Lexmark. Dia memenangkan $10,000 dan 1 poin Master of Pwn.

Selama kompetisi, serangan yang menyebabkan eksekusi kode jarak jauh pada perangkat didemonstrasikan:

  • Printer Canon imageCLASS MF743Cdw (11 serangan sukses, bonus $5,000 dan $10,000).
  • Lexmark MC3224i Printer (8 serangan, $7500, $10000 dan $5000 premium).
  • Printer HP Color LaserJet Pro M479fdw (5 serangan, bonus $5,000, $10,000, dan $20,000).
  • Sonos One Speaker Smart Speaker (3 serangan, bonus $22,500 dan $60,000).
  • Synology DiskStation DS920+ NAS (dua serangan, $40 dan $000 premium).
  • WD My Cloud Pro PR4100 NAS (3 hadiah $20 dan satu hadiah $000).
  • Synology RT6600ax Router (5 serangan WAN dengan premi $20 dan dua premi $000 dan $5000 untuk satu serangan LAN).
  • Router Layanan Terintegrasi Cisco C921-4P ($37,500).
  • Mikrotik RouterBoard RB2011UiAS-IN router ($100 bonus untuk peretasan multi-tahap: Router Mikrotik diserang terlebih dahulu, dan kemudian, setelah mendapatkan akses ke LAN, printer Canon).
  • NETGEAR RAX30 AX2400 Router (7 serangan, $1250, $2500, $5000, $7500, $8500, dan bonus $10000).
  • Router TP-Link AX1800/Archer AX21 (serangan WAN premium $20 dan serangan LAN premium $000).
  • Router Ubiquiti EdgeRouter X SFP ($50,000).
  • Ponsel pintar Samsung Galaxy S22 (4 serangan, tiga hadiah $25,000 dan satu hadiah $50,000).

Selain serangan sukses sebelumnya, 11 upaya untuk mengeksploitasi kerentanan gagal. Karena selama kompetisi, hadiah juga ditawarkan untuk meretas Apple iPhone 13 dan Google Pixel 6, tetapi tidak ada aplikasi untuk serangan, meskipun hadiah maksimum untuk menyiapkan eksploit yang memungkinkan mengeksekusi kode tingkat kernel untuk perangkat ini adalah $250.000.

Perlu disebutkan itu imbalan yang ditawarkan oleh meretas sistem otomasi rumah Amazon Echo Show 15, Meta Portal Go, dan Google Nest Hub Max, serta Apple HomePod Mini, Amazon Echo Studio, dan speaker pintar Google Nest Audio, yang hadiah peretasannya adalah $60,000.

Untuk bagian dari kerentanan yang ditunjukkan dalam berbagai komponen, masalah belum akan dilaporkan secara publik sesuai dengan ketentuan kompetisi, informasi terperinci tentang semua kerentanan 0 hari yang ditunjukkan akan dipublikasikan hanya setelah 120 hari, yang mereka diberikan untuk persiapan pembaruan oleh pabrikan untuk menghilangkan kerentanan.

Serangan menggunakan firmware dan sistem operasi terbaru dengan semua pembaruan dan pengaturan default yang tersedia. Jumlah total kompensasi yang dibayarkan adalah $934.750.

Akhirnya jika Anda tertarik untuk mengetahui lebih banyak tentangnya tentang Pwn2Own edisi baru ini, Anda dapat berkonsultasi detailnya Di tautan berikut.


tinggalkan Komentar Anda

Alamat email Anda tidak akan dipublikasikan. Bidang yang harus diisi ditandai dengan *

*

*

  1. Penanggung jawab data: Miguel Ángel Gatón
  2. Tujuan data: Mengontrol SPAM, manajemen komentar.
  3. Legitimasi: Persetujuan Anda
  4. Komunikasi data: Data tidak akan dikomunikasikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Basis data dihosting oleh Occentus Networks (UE)
  6. Hak: Anda dapat membatasi, memulihkan, dan menghapus informasi Anda kapan saja.