Την πρώτη μέρα του hacking διαγωνισμού Pwn2Own Ireland, οι συμμετέχοντες ανακάλυψαν και παρουσίασαν 52 ευπάθειες zero-day σε δημοφιλείς συσκευές, κερδίζοντας συνολικά 486.250 $ (χρηματικά έπαθλα).
Ας δούμε τις top προσπάθειες των συμμετεχόντων:
Η βιετναμέζικη εταιρεία Viettel Cyber Security έλαβε 13 βαθμούς στην καταδίωξη του τίτλου “Master of Pwn”. Οι phudq και namnp της ομάδας εκμεταλλεύτηκαν μια κάμερα Lorex 2K WiFi, μέσω μιας stack-based buffer overflow ευπάθειας και κέρδισαν $30.000 και 3 πόντους.
Δείτε επίσης: Fortinet: Ευπάθεια στο FortiManager χρησιμοποιήθηκε σε επιθέσεις
H Newpark Resources χτυπήθηκε από Ransomware
Πρόστιμο ΜΕΤΑ: Παράνομη Συλλογή Δεδομένων στην Νότια Κορέα
Έργο τέχνης του ρομπότ Ai-Da πωλήθηκε για $ 1,3 εκατ.
Επίσης, οι ερευνητές της Viettel Cyber Security συνδύασαν τέσσερα νέα σφάλματα για να αποκτήσουν πρόσβαση στο στο TrueNAS Mini X, μέσω ενός QNAP QHora-322 router, κερδίζοντας άλλα $50.000 και 10 πόντους.
Ο Sina Kheirkhah από το Summoning Team ανακάλυψε και αξιοποίησε μια αλυσίδα από εννέα ευπάθειες για να μεταβεί από τον QNAP QHora-322 router στη συσκευή TrueNAS Mini X. Με αυτόν τον τρόπο, κατάφερε να κερδίσει $100.000 και 10 πόντους Master of Pwn.
Ο Jack Dates της RET2 Systems χρησιμοποίησε ένα out-of-bounds (OOB) write exploit στο έξυπνο ηχείο Sonos Era 300, εξασφαλίζοντας $60.000 και 6 πόντους. Μέσω του exploit κατάφερε να αποκτήσει τον πλήρη έλεγχο της συσκευής.
Pwn2Own Ireland: Άλλες αξιοσημείωτες προσπάθειες
Η ομάδα Neodyme χρησιμοποίησε μια stack-based buffer overflow ευπάθεια για να στοχεύσει τον εκτυπωτή HP Color LaserJet Pro MFP 3301fdw και κέρδισε $20.000 και 2 πόντους.
Δείτε επίσης: Hackers εκμεταλλεύονται τη Zero-Day ευπάθεια της Samsung
Οι PHP Hooligans / Midnight Blue κέρδισαν 20.000 $ για την εκμετάλλευση ενός εκτυπωτή Canon imageCLASS MF656Cdw και ο ExLuck του ANHTUD χρησιμοποίησε τέσσερα νέα σφάλματα, για την εκμετάλλευση της συσκευής QNAP TS-464 NAS. Η ανταμοιβή του ήταν 40.000 $ και 4 πόντοι Master of Pwn.
Οι Ryan Emmons και Stephen Fewer της Rapid7 εκμεταλλεύτηκαν επιτυχώς το Synology DiskStation DS1823xs+ μέσω ενός μόνο σφάλματος, κερδίζοντας $40.000 και 4 βαθμούς.
Ωστόσο, η πρώτη μέρα του Pwn2Own Ireland είχε και μερικές αποτυχίες. Το Summoning Team δυσκολεύτηκε να εκτελέσει έγκαιρα τα exploits του για τα QNAP TS-464 και Synology BeeStation BST150-4T, ενώ η Synacktiv αντιμετώπισε ένα bug collision στο exploit για την κάμερα Lorex 2K, κερδίζοντας μειωμένη πληρωμή 11.250 $.
Γενικά, όμως, η πρώτη μέρα ήταν αρκετά επιτυχημένη με σημαντικές ευπάθειες, hacks και ανταμοιβές.
Τις επόμενες μέρες του διαγωνισμού, οι συμμετέχοντες θα ανακαλύψουν νέες ευπάθειες σε πλήρως επιδιορθωμένες συσκευές SOHO, συμπεριλαμβανομένων εκτυπωτών, συστημάτων NAS, καμερών WiFi, routers, έξυπνων ηχείων, κινητών τηλεφώνων (Samsung Galaxy S24).
Δείτε επίσης: Ευπάθειες στον VMware vCenter Server επιτρέπουν την εκτέλεση κώδικα
Pwn2Own Ireland 2024
Η αντίδραση της κοινότητας των hackers και του κοινού είναι πάντα ενθουσιώδης σε αυτούς τους διαγωνισμούς. Όλοι αναγνωρίζουν τη σημασία του διαγωνισμού στην προώθηση της ασφάλειας προϊόντων και συστημάτων.
Ταυτόχρονα, τέτοιοι διαγωνισμοί δίνουν την ευκαιρία στους ίδιους τους hackers να μαθαίνουν και να εμπνέονται από τις τεχνικές και τις στρατηγικές που χρησιμοποιούν άλλοι συνάδελφοί τους.
Η εκδήλωση Pwn2Own Ireland 2024 ενισχύει την κοινότητα των ethical hackers, προσφέροντας μια πλατφόρμα για διάλογο, ανταλλαγή ιδεών και συνεργασία.
Πηγή: www.bleepingcomputer.com