Výsledky Pwn2Own Toronto 2022

Pwn2Own

Pwn2Own Toronto 2022 sa konalo 9. decembra

Výsledky štyroch dní súťaže Pwn2Own Toronto 2022, počas ktorých sa preukázalo 63 doteraz neznámych (0-dňových) zraniteľností v mobilných zariadeniach, tlačiarňach, inteligentných reproduktoroch, úložných systémoch a smerovačoch, boli zverejnené v príspevku.

Pre tých, ktorí o Pwn2Own nevedia, mali by ste vedieť, že ide o hackerskú súťaž, ktorá sa každoročne koná na bezpečnostnej konferencii CanSecWest. Prvýkrát sa konal v apríli 2007 vo Vancouveri.

V tomto novom vydaní súťaže sa zúčastnilo 36 bezpečnostných tímov a výskumníkov. Najúspešnejšiemu tímu DEVCORE sa podarilo zo súťaže vyhrať 142 82,000 USD. Víťazi na druhom mieste (Team Viettel) dostali 78,000 XNUMX USD a víťazi na treťom mieste (skupina NCC) dostali XNUMX XNUMX USD.

Počas tejto súťaže sa 26 bezpečnostných tímov a výskumníkov zameralo na zariadenia v kategóriách mobilné telefóny, rozbočovače domácej automatizácie, tlačiarne, bezdrôtové smerovače, sieťové úložiská a inteligentné reproduktory, všetky sú aktuálne a v predvolených nastaveniach.

„A máme hotovo! Všetky výsledky zo štvrtého dňa sú uvedené nižšie. Dnes udeľujeme ďalších 55,000 989,750 USD, čím sa celková suma našej súťaže zvýši na 63 142,500 USD. Počas súťaže sme zakúpili 18.5 unikátnych nultých dní. Titul Master of Pwn sa vydaril naplno, ale tím DEVCORE získal svoj druhý titul so zárobkom 16,5 15,5 $ a 2 bodu." prečítaj si príspevok zverejnený ZDI. „Tím Viettel a skupina NCC boli veľmi blízko so ziskom XNUMX a XNUMX bodu. Gratulujeme všetkým súťažiacim a víťazom PwnXNUMXOwn.”

Štvrtý deň súťaže výskumník Chris Anastasio predviedol pretečenie vyrovnávacej pamäte na báze haldy oproti tlačiarni Lexmark. Vyhral 10,000 1 $ a XNUMX bod Master of Pwn.

Počas súťaže boli predvedené útoky, ktoré viedli k vzdialenému spusteniu kódu na zariadeniach:

  • Tlačiareň Canon imageCLASS MF743Cdw (11 úspešných útokov, bonusy 5,000 10,000 USD a XNUMX XNUMX USD).
  • Tlačiareň Lexmark MC3224i (8 útokov, prémie 7500 10000 USD, 5000 XNUMX USD a XNUMX XNUMX USD).
  • Tlačiareň HP Color LaserJet Pro M479fdw (5 útokov, bonusy 5,000 10,000 USD, 20,000 XNUMX USD a XNUMX XNUMX USD).
  • Inteligentný reproduktor Sonos One Speaker (3 útoky, bonusy 22,500 60,000 USD a XNUMX XNUMX USD).
  • NAS Synology DiskStation DS920+ (dva útoky, prémie 40 000 USD a 20 000 USD).
  • WD My Cloud Pro PR4100 NAS (3 ceny 20 000 USD a jedna cena 40 000 USD).
  • Router Synology RT6600ax (5 útokov WAN s prémiami 20 000 USD a dve prémie 5000 1250 USD a XNUMX XNUMX USD za jeden útok na LAN).
  • Cisco C921-4P Integrated Services Router (37,500 XNUMX USD).
  • Router Mikrotik RouterBoard RB2011UiAS-IN (bonus 100 000 USD za viacstupňový hacking: najskôr bol napadnutý smerovač Mikrotik a potom, po získaní prístupu do LAN, tlačiareň Canon).
  • Router NETGEAR RAX30 AX2400 (7 útokov, bonusy 1250 2500 USD, 5000 7500 USD, 8500 10000 USD, XNUMX XNUMX USD, XNUMX XNUMX USD a XNUMX XNUMX USD).
  • Router TP-Link AX1800/Archer AX21 (WAN útok prémiových 20 000 USD a prémiový útok LAN 5000 XNUMX USD).
  • Router Ubiquiti EdgeRouter X SFP (50,000 XNUMX dolárov).
  • Smartfón Samsung Galaxy S22 (4 útoky, tri ceny 25,000 50,000 USD a jedna cena XNUMX XNUMX USD).

Okrem predchádzajúcich úspešných útokov, 11 pokusov o zneužitie zraniteľnosti zlyhalo. Keďže počas súťaže boli ponúkané odmeny aj za hacknutie iPhonu 13 od Apple a Pixelu 6 od Googlu, ale neexistovali žiadne aplikácie na útoky, hoci maximálna odmena za prípravu exploitu, ktorý umožňuje spustenie kódu na úrovni jadra pre tieto zariadenia, bola 250.000 XNUMX dolárov.

Za zmienku stojí to odmeny, ktoré ponúka hacknite systémy domácej automatizácie Amazon Echo Show 15, Meta Portal Go a Google Nest Hub Max, ako aj inteligentné reproduktory Apple HomePod Mini, Amazon Echo Studio a Google Nest Audio, za čo bola odmena za hackovanie 60,000 XNUMX dolárov.

Pokiaľ ide o časť preukázaných zraniteľností v jednotlivých komponentoch, problémy zatiaľ nebudú podľa podmienok súťaže verejne hlásené, podrobné informácie o všetkých preukázaných 0-dňových zraniteľnostiach budú zverejnené až po 120 dňoch, čo sú daný na prípravu aktualizácií výrobcami na odstránenie zraniteľností.

Pri útokoch bol použitý najnovší firmvér a operačné systémy so všetkými dostupnými aktualizáciami a predvolenými nastaveniami. Celková vyplatená suma odškodného bola 934.750 XNUMX dolárov.

Konečne ak máte záujem dozvedieť sa o tom viac o tomto novom vydaní Pwn2Own si môžete prečítať podrobnosti Na nasledujúcom odkaze.


Buďte prvý komentár

Zanechajte svoj komentár

Vaša e-mailová adresa nebude zverejnená. Povinné položky sú označené *

*

*

  1. Zodpovedný za údaje: Miguel Ángel Gatón
  2. Účel údajov: Kontrolný SPAM, správa komentárov.
  3. Legitimácia: Váš súhlas
  4. Oznamovanie údajov: Údaje nebudú poskytnuté tretím stranám, iba ak to vyplýva zo zákona.
  5. Ukladanie dát: Databáza hostená spoločnosťou Occentus Networks (EU)
  6. Práva: Svoje údaje môžete kedykoľvek obmedziť, obnoviť a vymazať.