Результати Pwn2Own Toronto 2022

Darkcrizt

4 хвилин

Pwn2Own

Pwn2Own Toronto 2022 відбувся 9 грудня

Результати чотирьох днів конкурсу Pwn2Own Toronto 2022, під час якого було продемонстровано 63 раніше невідомі (0-денні) уразливості в мобільних пристроях, принтерах, розумних колонках, системах зберігання даних і маршрутизаторах, були опубліковані в дописі.

Для тих, хто не знав про Pwn2Own, вам слід знати, що це змагання з хакерства, яке відбувається щорічно на конференції безпеки CanSecWest. Вперше відбувся у квітні 2007 року у Ванкувері.

У цьому новому випуску конкурсу взяли участь 36 команд безпеки та дослідників. Найуспішнішій команді DEVCORE вдалося виграти 142 82,000 доларів США від конкурсу. Переможці, які зайняли друге місце (команда Viettel), отримали 78,000 XNUMX доларів США, а переможці, які посіли третє місце (група NCC), отримали XNUMX XNUMX доларів США.

Під час цього конкурсу 26 команд із безпеки та дослідників зосередилися на пристроях у таких категоріях, як мобільні телефони, концентратори домашньої автоматизації, принтери, бездротові маршрутизатори, мережеві накопичувачі та розумні динаміки, усі оновлені та з налаштуваннями за замовчуванням.

«І ми закінчили! Усі результати четвертого дня наведено нижче. Сьогодні ми присуджуємо ще 55,000 989,750 доларів США, таким чином загальна сума нашого конкурсу становить 63 142,500 доларів США. Під час конкурсу ми придбали 18.5 унікальних нульових дня. Титул Master of Pwn пройшов весь шлях, але команда DEVCORE завоювала свій другий титул із прибутком 16,5 15,5 доларів США та 2 балами». читайте публікацію, опубліковану ЗДІ. «Команда Viettel і група NCC були дуже близькі, набравши XNUMX і XNUMX очок відповідно. Вітаємо всіх учасників і переможців PwnXNUMXOwn».

У четвертий день змагань дослідник Кріс Анастасіо продемонстрував переповнення буфера на основі купи на принтері Lexmark. Він виграв $10,000 1 і XNUMX очко Master of Pwn.

Під час змагань були продемонстровані атаки, які призводили до віддаленого виконання коду на пристроях:

  • Принтер Canon imageCLASS MF743Cdw (11 успішних атак, бонуси $5,000 і $10,000).
  • Принтер Lexmark MC3224i (8 атак, премії $7500, $10000 і $5000).
  • Принтер HP Color LaserJet Pro M479fdw (5 атак, бонуси $5,000, $10,000 20,000 і $XNUMX XNUMX).
  • Розумний динамік Sonos One Speaker (3 атаки, $22,500 60,000 і $XNUMX XNUMX бонусів).
  • Synology DiskStation DS920+ NAS (дві атаки, премії 40 000 доларів США та 20 000 доларів США).
  • WD My Cloud Pro PR4100 NAS (3 призи по $20 000 і один приз по $40 000).
  • Маршрутизатор Synology RT6600ax (5 атак WAN з премією 20 000 доларів США та дві премії 5000 1250 доларів США та XNUMX XNUMX доларів США за одну атаку LAN).
  • Маршрутизатор з інтегрованими послугами Cisco C921-4P ($37,500 XNUMX).
  • Роутер Mikrotik RouterBoard RB2011UiAS-IN (бонус $100 тис. за багатоетапний злом: спочатку був атакований роутер Mikrotik, а потім, після отримання доступу до локальної мережі, принтер Canon).
  • Маршрутизатор NETGEAR RAX30 AX2400 (7 атак, бонуси $1250, $2500, $5000, $7500, $8500 і $10000 XNUMX).
  • Маршрутизатор TP-Link AX1800/Archer AX21 (WAN атака 20 000 $ преміум і LAN атака 5000 XNUMX $ преміум).
  • Маршрутизатор Ubiquiti EdgeRouter X SFP ($50,000 XNUMX).
  • Смартфон Samsung Galaxy S22 (4 атаки, три призи по 25,000 50,000 $ і один приз по XNUMX XNUMX $).

Окрім попередніх успішних атак, 11 спроб використати вразливості не вдалися. Оскільки під час конкурсу також пропонувалися нагороди за злом iPhone 13 від Apple і Pixel 6 від Google, але заявок на атаки не було, хоча максимальна винагорода за підготовку експлойту, який дозволяє виконувати код на рівні ядра для цих пристроїв, становила 250.000 XNUMX доларів.

Варто зазначити це винагороди, які пропонує зламати системи домашньої автоматизації Amazon Echo Show 15, Meta Portal Go та Google Nest Hub Max, а також розумні колонки Apple HomePod Mini, Amazon Echo Studio та Google Nest Audio, за який винагорода за злом склала 60,000 XNUMX доларів.

Що стосується частини продемонстрованих уразливостей у різних компонентах, то проблеми ще не будуть оприлюднені згідно з умовами конкурсу, детальна інформація про всі продемонстровані уразливості 0-day буде опублікована лише через 120 днів, тобто надається для підготовки виробниками оновлень для усунення вразливостей.

Атаки використовували найновішу прошивку та операційні системи з усіма доступними оновленнями та налаштуваннями за замовчуванням. Загальна сума виплаченої компенсації склала 934.750 XNUMX доларів.

В кінці кінців якщо вам цікаво дізнатись більше про це про це нове видання Pwn2Own, ви можете ознайомитися з деталями У наступному посиланні.


Залиште свій коментар

Ваша електронна адреса не буде опублікований. Обов'язкові для заповнення поля позначені *

*

*

  1. Відповідальний за дані: Мігель Анхель Гатон
  2. Призначення даних: Контроль спаму, управління коментарями.
  3. Легітимація: Ваша згода
  4. Передача даних: Дані не передаватимуться третім особам, за винятком юридичних зобов’язань.
  5. Зберігання даних: База даних, розміщена в мережі Occentus Networks (ЄС)
  6. Права: Ви можете будь-коли обмежити, відновити та видалити свою інформацію.