“Pwn2Own Toronto 2022” müsabiqəsinin dörd günlük nəticələrinə yekun vurulub, bu müsabiqədə mobil cihazlarda, printerlərdə, smart dinamiklərdə, yaddaş sistemlərində və marşrutlaşdırıcılarda əvvəllər məlum olmayan 63 boşluq (0-gün) nümayiş etdirilib. Hücumlar bütün mövcud yeniləmələrlə və standart konfiqurasiyada ən son proqram təminatı və əməliyyat sistemlərindən istifadə edilib. Ödənilmiş rüsumların ümumi məbləği 934,750 ABŞ dolları təşkil etmişdir.
Yarışda 36 komanda və təhlükəsizlik tədqiqatçıları iştirak edib. Ən uğurlu DEVCORE komandası yarışmadan 142 min ABŞ dolları qazanmağı bacarıb. İkinci yerin qalibləri (Team Viettel) 82 min dollar, üçüncü yerin qalibləri (NCC qrupu) isə 78 min dollar alıb.
Müsabiqə zamanı cihazlarda uzaqdan kod icrasına səbəb olan hücumlar nümayiş etdirildi:
- Canon imageCLASS MF743Cdw printer (11 uğurlu hücum, 5000 dollar və 10000 dollar mükafat).
- Lexmark MC3224i printer (8 hücum, $7500, $10000 və $5000 bonuslar).
- HP Color LaserJet Pro M479fdw printer (5 hücum, $5000, $10000 və $20000 mükafatlar).
- Ağıllı dinamik Sonos One Speaker (3 hücum, mükafatlar $22500 və $60000).
- Synology DiskStation DS920+ şəbəkə yaddaşı (iki hücum, $40000 və $20000 mükafatlar).
- WD My Cloud Pro PR4100 Şəbəkə Yaddaşı (3 dollarlıq 20000 mükafat və 40000 dollarlıq bir mükafat).
- Synology RT6600ax marşrutlaşdırıcısı (5$ bonuslarla WAN vasitəsilə 20000 hücum və LAN vasitəsilə hücumlar üçün 5000$ və 1250$-lıq iki bonus).
- Cisco Integrated Service Router C921-4P ($37500).
- Mikrotik RouterBoard RB2011UiAS-IN marşrutlaşdırıcısı (çoxmərhələli hakerlik üçün 100,000 dollar mükafat - əvvəlcə Mikrotik marşrutlaşdırıcısı hücuma məruz qaldı, sonra isə LAN-a giriş əldə etdikdən sonra Canon printeri).
- NETGEAR RAX30 AX2400 Router (7 hücum, $1250, $2500, $5000, $7500, $8500 və $10000 mükafatlar).
- TP-Link AX1800/Archer AX21 marşrutlaşdırıcısı (WAN hücumu, 20000 dollar mükafat və LAN hücumu, 5000 dollar mükafat).
- Ubiquiti EdgeRouter X SFP Router ($50000).
- Samsung Galaxy S22 smartfonu (4 hücum, üç 25000 50000 dollar mükafat və bir XNUMX XNUMX dollar mükafat).
Yuxarıda qeyd olunan uğurlu hücumlara əlavə olaraq, zəifliklərdən istifadə etmək üçün edilən 11 cəhd uğursuzluqla başa çatıb. Müsabiqədə, həmçinin Apple iPhone 13 və Google Pixel 6-nın sındırılması təklif edilib, lakin hücumların həyata keçirilməsi üçün müraciətlər qəbul edilməyib, baxmayaraq ki, bu cihazlar üçün kernel səviyyəsində kodun icrasına imkan verən istismarın hazırlanmasına görə maksimum mükafat 250,000 dollar olub. . Amazon Echo Show 15, Meta Portal Go və Google Nest Hub Max ev avtomatlaşdırma sistemlərinin sındırılması təklifləri, həmçinin sındırmaya görə mükafatı 60,000 dollar olan Apple HomePod Mini, Amazon Echo Studio və Google Nest Audio smart dinamikləri də tələb olunmamış qalıb.
Problemin hansı spesifik komponentləri barədə hələ məlumat verilmir; müsabiqənin şərtlərinə uyğun olaraq, bütün nümayiş etdirilmiş 0 günlük zəifliklər haqqında ətraflı məlumat yalnız 120 gündən sonra dərc olunacaq və istehsalçılara zəiflikləri aradan qaldıran yeniləmələr hazırlamaq üçün verilir.
Mənbə: opennet.ru