Результаты Pwn2Own Торонто 2022

Darkcrizt

4 минут

Pwn2Own

Pwn2Own Toronto 2022 прошел 9 декабря

В посте опубликованы результаты четырех дней конкурса Pwn2Own Toronto 2022, в ходе которых были продемонстрированы 63 ранее неизвестные (0-day) уязвимости в мобильных устройствах, принтерах, умных колонках, системах хранения и роутерах.

Для тех, кто не знает о Pwn2Own, следует знать, что это хакерский конкурс, который проводится ежегодно на конференции по безопасности CanSecWest. Первый состоялся в апреле 2007 года в Ванкувере.

В этом новом выпуске конкурса приняли участие 36 команд безопасности и исследователей. Самая успешная команда DEVCORE сумела выиграть в конкурсе 142 82,000 долларов США. Занявшие второе место (Team Viettel) получили 78,000 XNUMX долларов, а занявшие третье место (группа NCC) — XNUMX XNUMX долларов.

Во время этого конкурса 26 групп безопасности и исследователей сосредоточились на устройствах в категориях мобильных телефонов, концентраторов домашней автоматизации, принтеров, беспроводных маршрутизаторов, сетевых хранилищ и интеллектуальных динамиков, все они обновлены и имеют настройки по умолчанию.

"И мы закончили! Все результаты четвертого дня ниже. Сегодня мы присуждаем еще 55,000 989,750 долларов, в результате чего общая сумма нашего конкурса достигает 63 142,500 долларов. В ходе конкурса мы приобрели 18.5 уникальных нулевых дня. Титул Master of Pwn прошел весь путь, но команда DEVCORE завоевала свой второй титул, заработав 16,5 15,5 долларов и набрав 2 очков». прочитайте сообщение, опубликованное ZDI. «Команда Viettel и группа NCC были очень близки с XNUMX и XNUMX очками соответственно. Поздравляем всех участников и победителей PwnXNUMXOwn».

На четвертый день соревнований исследователь Крис Анастасио продемонстрировал переполнение буфера динамической памяти на принтере Lexmark. Он выиграл 10,000 1 долларов и XNUMX очко Master of Pwn.

В ходе конкурса были продемонстрированы атаки, которые приводили к удаленному выполнению кода на устройствах:

  • Принтер Canon imageCLASS MF743Cdw (11 успешных атак, бонусы в размере 5,000 10,000 и XNUMX XNUMX долларов США).
  • Принтер Lexmark MC3224i (8 атак, премии 7500, 10000 и 5000 долларов).
  • Принтер HP Color LaserJet Pro M479fdw (5 атак, бонусы на 5,000 10,000, 20,000 XNUMX и XNUMX XNUMX долларов).
  • Sonos One Speaker Smart Speaker (3 атаки, бонусы в размере 22,500 60,000 и XNUMX XNUMX долларов США).
  • Synology DiskStation DS920+ NAS (две атаки, премии 40 000 и 20 000 долларов США).
  • Сетевое хранилище WD My Cloud Pro PR4100 (3 приза по 20 000 долларов США и один приз по 40 000 долларов США).
  • Маршрутизатор Synology RT6600ax (5 атак по глобальной сети с надбавками в размере 20 000 долларов США и две надбавки по 5000 1250 и XNUMX XNUMX долларов США за одну атаку по локальной сети).
  • Маршрутизатор с интегрированными сервисами Cisco C921-4P (37,500 XNUMX долл. США).
  • Роутер Mikrotik RouterBoard RB2011UiAS-IN (бонус $100 000 за многоэтапный взлом: сначала был атакован роутер Mikrotik, а затем, после получения доступа в локальную сеть, принтер Canon).
  • Маршрутизатор NETGEAR RAX30 AX2400 (7 атак, бонусы 1250, 2500, 5000, 7500, 8500 и 10000 XNUMX долларов).
  • Маршрутизатор TP-Link AX1800/Archer AX21 (премиум 20 000 долларов США для атаки на глобальную сеть и 5000 XNUMX долларов США для атаки на локальную сеть).
  • Маршрутизатор Ubiquiti EdgeRouter X SFP (50,000 XNUMX долларов США).
  • Смартфон Samsung Galaxy S22 (4 атаки, три приза по 25,000 50,000 долларов и один приз по XNUMX XNUMX долларов).

Помимо предыдущих успешных атак, 11 попыток эксплуатации уязвимостей не увенчались успехом. Так как во время конкурса также предлагались награды за взлом Apple iPhone 13 и Google Pixel 6, но заявок на атаки не было, хотя максимальная награда за подготовку эксплойта, позволяющего выполнять код уровня ядра для этих устройств, составляла $250.000 XNUMX.

Стоит отметить, что вознаграждения, предлагаемые взламывать системы домашней автоматизации Amazon Echo Show 15, Meta Portal Go и Google Nest Hub Max, а также умные колонки Apple HomePod Mini, Amazon Echo Studio и Google Nest Audio., вознаграждение за взлом которого составило 60,000 XNUMX долларов.

По части продемонстрированных уязвимостей в различных компонентах, о проблемах пока не будет сообщаться публично по условиям конкурса, подробная информация обо всех продемонстрированных 0-day уязвимостях будет опубликована только через 120 дней, которые они дается за подготовку производителями обновлений для устранения уязвимостей.

В атаках использовались последние прошивки и операционные системы со всеми доступными обновлениями и настройками по умолчанию. Общая сумма выплаченной компенсации составила 934.750 XNUMX долларов.

В конце концов если вам интересно узнать об этом больше об этом новом выпуске Pwn2Own вы можете узнать подробности По следующей ссылке.


Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: Мигель Анхель Гатон
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.