Την πρώτη μέρα του Pwn2Own Ireland, οι συμμετέχοντες παρουσίασαν 52 ευπάθειες μηδενικής ημέρας σε μια σειρά συσκευών, κερδίζοντας συνολικά 486.250 $ σε χρηματικά έπαθλα.
Η Viettel Cyber Security πήρε από νωρίς προβάδισμα λαμβάνοντας 13 βαθμούς στην καταδίωξη του τίτλου “Master of Pwn”. Το phudq και το namnp της ομάδας εκμεταλλεύτηκαν μια κάμερα Lorex 2K WiFi μέσω μιας ευπάθειας υπερχείλισης buffer που βασίζεται σε στοίβα και κέρδισαν $30.000 και 3 πόντους.
Η Sina Kheirkhah από το Summoning Team έκλεψε την παράσταση με μια αλυσίδα από εννέα τρωτά σημεία για να μεταβεί από τον δρομολογητή QNAP QHora-322 στη συσκευή TrueNAS Mini X, η οποία έφερε μια πληρωμή $100.000 και 10 πόντους Master of Pwn.
Ακολούθησαν οι Jack Dates της RET2 Systems με μια επιτυχημένη εγγραφή εκτός ορίων (OOB) στο έξυπνο ηχείο Sonos Era 300, εξασφαλίζοντας $60.000 και 6 πόντους. Το κατόρθωμα του επέτρεψε τον πλήρη έλεγχο της συσκευής.
Μια δεύτερη προσπάθεια Viettel Cyber Security συνδύασε τέσσερα νέα σφάλματα για να περιστραφεί από το δρομολογητή QNAP QHora-322 στο TrueNAS Mini X, κερδίζοντας άλλα $50.000 και 10 πόντους.
Άλλες αξιοσημείωτες προσπάθειες από την πρώτη μέρα του Pwn2Own περιλαμβάνουν:
- Η ομάδα Neodyme χρησιμοποίησε μια υπερχείλιση buffer που βασίζεται σε στοίβα για να στοχεύσει τον εκτυπωτή HP Color LaserJet Pro MFP 3301fdw. Η επιτυχία τους ανταμείφθηκε με $20.000 και 2 πόντους.
- Οι PHP Hooligans / Midnight Blue κέρδισαν 20.000 $ για την εκμετάλλευση ενός εκτυπωτή Canon imageCLASS MF656Cdw χρησιμοποιώντας ένα μόνο σφάλμα.
- Το ExLuck του ANHTUD εντάχθηκε στο leaderboard με τέσσερα νέα σφάλματα, συμπεριλαμβανομένης της ακατάλληλης επαλήθευσης πιστοποιητικού και ενός κωδικοποιημένου κρυπτογραφικού κλειδιού, για την εκμετάλλευση της συσκευής QNAP TS-464 NAS. Αυτή η προσπάθεια κέρδισε 40.000 $ και 4 πόντους Master of Pwn.
- Στο μέτωπο της επιτήρησης, οι Ryan Emmons και Stephen Fewer του Rapid7 εκμεταλλεύτηκαν επιτυχώς το Synology DiskStation DS1823xs+ μέσω μιας ακατάλληλης εξουδετέρωσης του σφάλματος οριοθέτησης επιχειρημάτων, κερδίζοντας $40.000 και 4 βαθμούς.
Ωστόσο, η πρώτη μέρα δεν ήταν χωρίς προκλήσεις και μερικές αποτυχίες. Το Summoning Team δυσκολεύτηκε να εκτελέσει εγκαίρως τα εκμεταλλεύματά του QNAP TS-464 και Synology BeeStation BST150-4T, ενώ το Synacktiv αντιμετώπισε μια σύγκρουση σφαλμάτων στο εκμεταλλεύσιμο της κάμερας Lorex 2K, κερδίζοντας μειωμένη πληρωμή 11.250 $.
Παρά τις μερικές αποτυχίες, το πρώτη μέρα του Pwn2Own Ireland 2024 ήταν γεμάτη με hacks υψηλού πονταρίσματος και αντίστοιχες ανταμοιβές.
Υπάρχουν τρεις μέρες ακόμα απομένουν στον διαγωνισμό και οι συμμετέχοντες θα προσπαθήσουν να εκμεταλλευτούν ζητήματα ασφαλείας που βρίσκονται σε πλήρως επιδιορθωμένες συσκευές SOHO, συμπεριλαμβανομένων εκτυπωτών, συστημάτων NAS, καμερών WiFi, δρομολογητών, έξυπνων ηχείων, κινητών τηλεφώνων (Samsung Galaxy S24), για ένα μέρος του βραβείου 1 εκατομμυρίου δολαρίων .
VIA: bleepingcomputer.com
