Pwn2Own टोरोंटो 2022 चे निकाल

Pwn2Own टोरंटो 2022 स्पर्धेच्या चार दिवसांचे निकाल, ज्या दरम्यान मोबाइल डिव्हाइस, प्रिंटर, स्मार्ट स्पीकर, स्टोरेज सिस्टम आणि राउटरमध्ये 63 पूर्वी अज्ञात (0-दिवस) असुरक्षा प्रदर्शित केल्या गेल्या होत्या, एका पोस्टमध्ये प्रसिद्ध करण्यात आल्या.

ज्यांना Pwn2Own बद्दल माहिती नाही त्यांच्यासाठी, तुम्हाला हे माहित असले पाहिजे की ही हॅकिंग स्पर्धा आहे जी CanSecWest सुरक्षा परिषदेत दरवर्षी घेतली जाते. प्रथम एप्रिल 2007 मध्ये व्हँकुव्हर येथे आयोजित.

स्पर्धेच्या या नवीन आवृत्तीत, 36 सुरक्षा संघ आणि संशोधकांनी भाग घेतला. सर्वात यशस्वी DEVCORE संघ स्पर्धेतून US$142 जिंकण्यात यशस्वी झाला. द्वितीय क्रमांकाच्या विजेत्यांना (टीम व्हिएटेल) $82,000 आणि तृतीय स्थान विजेत्यांना (NCC गट) $78,000 मिळाले.

या स्पर्धेदरम्यान, 26 सुरक्षा संघ आणि संशोधकांनी मोबाइल फोन, होम ऑटोमेशन हब, प्रिंटर, वायरलेस राउटर, नेटवर्क-संलग्न स्टोरेज आणि स्मार्ट स्पीकर या सर्व श्रेणींमध्ये उपकरणांवर लक्ष केंद्रित केले आहे, सर्व अद्ययावत आणि त्यांच्या डीफॉल्ट सेटिंग्जमध्ये.

"आणि आम्ही पूर्ण केले! चौथ्या दिवसातील सर्व निकाल खाली दिले आहेत. आम्ही आज आणखी $55,000 बक्षीस देत आहोत, आमची स्पर्धा एकूण $989,750 वर आणत आहोत. स्पर्धेदरम्यान, आम्ही 63 अद्वितीय शून्य दिवस खरेदी केले. मास्टर ऑफ Pwn चे विजेतेपद सर्वत्र पार पडले, परंतु DEVCORE संघाने $142,500 आणि 18.5 गुणांच्या कमाईसह त्यांचे दुसरे विजेतेपद पटकावले.” ZDI ने प्रकाशित केलेली पोस्ट वाचा. “व्हिएटेल संघ आणि NCC गट अनुक्रमे 16,5 आणि 15,5 गुणांसह खूप जवळ होते. Pwn2Own च्या सर्व स्पर्धकांचे आणि विजेत्यांचे अभिनंदन.”

स्पर्धेच्या चौथ्या दिवशी, संशोधक ख्रिस अनास्तासिओने लेक्समार्क प्रिंटरच्या विरूद्ध ढीग-आधारित बफर ओव्हरफ्लोचे प्रात्यक्षिक केले. त्याने $10,000 आणि Pwn पॉइंटचा 1 मास्टर जिंकला.

स्पर्धेदरम्यान, डिव्हाइसेसवर रिमोट कोडची अंमलबजावणी करणारे हल्ले प्रदर्शित केले गेले:

• Canon imageCLASS MF743Cdw प्रिंटर (11 यशस्वी हल्ले, $5,000 आणि $10,000 बोनस).
• Lexmark MC3224i प्रिंटर (8 हल्ले, $7500, $10000 आणि $5000 प्रीमियम).
• HP Color LaserJet Pro M479fdw प्रिंटर (5 अटॅक, $5,000, $10,000 आणि $20,000 बोनस).
• सोनोस वन स्पीकर स्मार्ट स्पीकर (3 हल्ले, $22,500 आणि $60,000 बोनस).
• Synology DiskStation DS920+ NAS (दोन हल्ले, $40 आणि $000 प्रीमियम).
• WD My Cloud Pro PR4100 NAS ($3 चे 20 बक्षिसे आणि $000 चे एक बक्षीस).
• सिनोलॉजी RT6600ax राउटर ($5 च्या प्रीमियमसह 20 WAN हल्ला आणि एका LAN हल्ल्यासाठी $000 आणि $5000 चे दोन प्रीमियम).
• सिस्को C921-4P एकात्मिक सेवा राउटर ($37,500).
• Mikrotik RouterBoard RB2011UiAS-IN राउटर (मल्टी-स्टेज हॅकिंगसाठी $100 बोनस: Mikrotik राउटरवर प्रथम हल्ला झाला, आणि नंतर, LAN, Canon प्रिंटरमध्ये प्रवेश मिळवल्यानंतर).
• NETGEAR RAX30 AX2400 राउटर (7 हल्ले, $1250, $2500, $5000, $7500, $8500 आणि $10000 बोनस).
• TP-Link AX1800/Archer AX21 राउटर (WAN आक्रमण $20 प्रीमियम आणि LAN आक्रमण $000 प्रीमियम).
• Ubiquiti EdgeRouter X SFP राउटर ($50,000).
• Samsung Galaxy S22 स्मार्टफोन (4 हल्ले, $25,000 चे तीन बक्षिसे आणि $50,000 चे एक बक्षीस).

मागील यशस्वी हल्ल्यांव्यतिरिक्त, असुरक्षिततेचे शोषण करण्याचे 11 प्रयत्न अयशस्वी झाले. स्पर्धेदरम्यान, Apple च्या iPhone 13 आणि Google च्या Pixel 6 हॅक करण्यासाठी बक्षिसे देखील ऑफर करण्यात आली होती, परंतु हल्ल्यांसाठी कोणतेही अनुप्रयोग नव्हते, जरी या उपकरणांसाठी कर्नल-स्तरीय कोड कार्यान्वित करण्यास अनुमती देणारे शोषण तयार करण्यासाठी कमाल बक्षीस $250.000 होते.

हे उल्लेखनीय आहे किंवा द्वारे बक्षिसे दिली गेली नाहीत होम ऑटोमेशन सिस्टम हॅक करा Amazon Echo Show 15, Meta Portal Go, आणि Google Nest Hub Max, तसेच Apple HomePod Mini, Amazon Echo Studio आणि Google Nest Audio स्मार्ट स्पीकर, ज्यासाठी हॅक बक्षीस $60,000 होते.

विविध घटकांमधील प्रात्यक्षिक असुरक्षिततेच्या भागासाठी, स्पर्धेच्या अटींनुसार समस्या अद्याप सार्वजनिकपणे कळवल्या जाणार नाहीत, सर्व प्रात्यक्षिक 0-दिवसांच्या भेद्यतेची तपशीलवार माहिती 120 दिवसांनंतरच प्रकाशित केली जाईल, ज्या त्या आहेत. असुरक्षा दूर करण्यासाठी उत्पादकांद्वारे अद्यतने तयार करण्यासाठी दिले जाते.

हल्ल्यांमध्ये सर्व उपलब्ध अद्यतने आणि डीफॉल्ट सेटिंग्जसह नवीनतम फर्मवेअर आणि ऑपरेटिंग सिस्टम वापरण्यात आले. भरपाईची एकूण रक्कम $934.750 होती.

शेवटी आपल्याला त्याबद्दल अधिक जाणून घेण्यात स्वारस्य असल्यास Pwn2Own च्या या नवीन आवृत्तीबद्दल, तुम्ही तपशीलांचा सल्ला घेऊ शकता पुढील लिंकवर