Η τέταρτη ημέρα του Pwn2Own Ireland 2024 σηματοδότησε το τέλος του διαγωνισμού hacking με περισσότερα από 1 εκατομμύριο δολάρια σε έπαθλα για περισσότερες από 70 μοναδικές ευπάθειες zero-day σε πλήρως διορθωμένες συσκευές.
Ο διαγωνισμός hacking φέρνει τους ερευνητές ασφαλείας εναντίον διαφόρων προϊόντων λογισμικού και υλικού, σε μια προσπάθεια να κερδίσει τον τίτλο “Master of Pwn” διακυβεύοντας στόχους σε οκτώ κατηγορίες που κυμαίνονται από κινητά τηλέφωνα, εφαρμογές ανταλλαγής μηνυμάτων, οικιακούς αυτοματισμούς και έξυπνα ηχεία έως εκτυπωτές, συστήματα παρακολούθησης. Αποθηκευτικός χώρος συνδεδεμένος με το δίκτυο (NAS) και SOHO Smash-up.
Αυτή η έκδοση του Pwn2Own ήταν η τέταρτη συνεχόμενη όπου χάκερ με λευκά καπέλα ξεπέρασαν το βραβείο των εκατομμυρίων δολαρίων, κερδίζοντας συνολικά 1.066.625 δολάρια.
Την τελευταία μέρα του διαγωνισμού, ερευνητές ασφαλείας συσκευές που αξιοποιήθηκαν με επιτυχία από τα Lexmark, True NAS και QNAP:
- Ομαδικά βαρέλια καπνίσματος εκμεταλλεύτηκε δύο τρωτά σημεία στο TrueNAS X. Αν και ένα από τα σφάλματα είχε χρησιμοποιηθεί στο παρελθόν στον διαγωνισμό, η ομάδα κέρδισε 20.000 $ και 2 πόντους Master of Pwn
- Team Cluck χρησιμοποίησε μια αλυσίδα από έξι τρωτά σημεία για να μετακινηθεί από το QNAP QHora-322 στο Lexmark CX331adwe. Ένα από τα ελαττώματα είχε ήδη χρησιμοποιηθεί, αλλά έλαβαν 23.000 $ και πόντους Master of Pwn για την επιτυχημένη εκμετάλλευση
- Viettel Cyber Security στόχευσε το TrueNAS Mini X με ένα exploit δύο σφαλμάτων. Η αλυσίδα τους βασίστηκε επίσης σε ένα σφάλμα που είχε προηγηθεί στο διαγωνισμό, αλλά η επίδειξη τους ανταμείφθηκε με $20.000 και 2 πόντους Master of Pwn
- PHP Hooligans / Midnight Blue χρησιμοποίησε μια ευπάθεια υπερχείλισης ακέραιου αριθμού για να εκμεταλλευτεί έναν εκτυπωτή Lexmark, η οποία τους κέρδισε 10.000 $ και 2 πόντους Master of Pwn
Η Viettel Cyber Security έλαβε το βραβείο “Master of Pwn” για τη συλλογή 33 βαθμών Master of Pwn. Κέρδισαν 205.000 $ για τα ελαττώματα που αποδείχθηκαν στα QNAP NAS, στα ηχεία Sonos και στους εκτυπωτές Lexmark.
Ο επόμενη εκδήλωση Pwn2Own έχει προγραμματιστεί για τις 22 Ιανουαρίου 2025 και θα γίνει στο Τόκιο της Ιαπωνίας.
Η εκδήλωση επικεντρώνεται στην αυτοκινητοβιομηχανία και έχει τέσσερις κατηγορίες για συμμετέχοντες: Tesla, In-Vehicle Infotainment (IVI), Ηλεκτρικοί φορτιστές οχημάτων και Λειτουργικά Συστήματα.
Η Πρωτοβουλία Zero Day (ZDI) δημοσίευσε λεπτομέρειες για τις κατηγορίες και τα χρηματικά έπαθλα για την επιτυχή εκμετάλλευση. Οι κανόνες του διαγωνισμού είναι διαθέσιμοι εδώ.
VIA: bleepingcomputer.com