ProHoster > Блог > internet vijesti > Eksploatacije za 2 nove ranjivosti demonstrirane na Pwn63Own takmičenju u Torontu

Eksploatacije za 2 nove ranjivosti demonstrirane na Pwn63Own takmičenju u Torontu

Sumirani su rezultati četiri dana takmičenja Pwn2Own Toronto 2022, na kojem su demonstrirane 63 ranije nepoznate ranjivosti (0-dan) u mobilnim uređajima, štampačima, pametnim zvučnicima, sistemima za skladištenje podataka i ruterima. Napadi su koristili najnoviji firmver i operativne sisteme sa svim dostupnim ažuriranjima iu podrazumevanoj konfiguraciji. Ukupan iznos plaćenih naknada bio je 934,750 USD.

Na takmičenju je učestvovalo 36 timova i istraživača bezbednosti. Najuspješniji DEVCORE tim uspio je na takmičenju zaraditi 142 hiljade američkih dolara. Drugoplasirani (Tim Viettel) dobili su 82 hiljade dolara, a trećeplasirani (NCC grupa) 78 hiljada dolara.

Eksploatacije za 2 nove ranjivosti demonstrirane na Pwn63Own takmičenju u Torontu

Tokom takmičenja su demonstrirani napadi koji su doveli do daljinskog izvršavanja koda na uređajima:

  • Canon imageCLASS MF743Cdw štampač (11 uspešnih napada, nagrade od 5000 dolara i 10000 dolara).
  • Lexmark MC3224i štampač (8 napada, bonusi od $7500, $10000 i $5000).
  • HP Color LaserJet Pro M479fdw štampač (5 napada, $5000, $10000 i $20000 nagrada).
  • Pametni zvučnik Sonos One Speaker (3 napada, premije $22500 i $60000).
  • Synology DiskStation DS920+ mrežno skladište (dva napada, 40000 USD i 20000 USD premija).
  • WD My Cloud Pro PR4100 Network Storage (3 nagrade od 20000 USD i jedna nagrada od 40000 USD).
    Eksploatacije za 2 nove ranjivosti demonstrirane na Pwn63Own takmičenju u Torontu
  • Synology RT6600ax ruter (5 napada preko WAN-a sa $20000 bonusa i dva bonusa od $5000 i $1250 za napade preko LAN-a).
  • Cisco ruter sa integrisanim servisom C921-4P (37500 USD).
  • Mikrotik RouterBoard RB2011UiAS-IN ruter (nagrada od 100,000 dolara za višestepeno hakovanje - prvo je napadnut Mikrotik ruter, a zatim, nakon pristupa LAN-u, Canon štampač).
  • NETGEAR RAX30 AX2400 ruter (7 napada, $1250, $2500, $5000, $7500, $8500 i $10000 premije).
  • TP-Link AX1800/Archer AX21 ruter (WAN napad, 20000 USD premium, i LAN napad, 5000 USD premium).
  • Ubiquiti EdgeRouter X SFP ruter (50000 USD).
  • Samsung Galaxy S22 pametni telefon (4 napada, tri nagrade od 25000 dolara i jedna nagrada od 50000 dolara).

Pored prethodno spomenutih uspješnih napada, 11 pokušaja iskorištavanja ranjivosti nije uspjelo. Takmičenje je uključivalo i izazov hakovanja Applea. iPhone 13 i Google Pixel 6, ali nisu primljeni zahtjevi za napade, uprkos tome što je maksimalna nagrada za razvoj exploita koji bi omogućio izvršavanje koda na nivou kernela za ove uređaje iznosila 250,000 dolara. Također, nisu preuzete ponude za hakovanje sistema za kućnu automatizaciju Amazon Echo Show 15, Meta Portal Go i Google Nest Hub Max, kao i pametnih zvučnika Apple HomePod Mini, Amazon Echo Studio i Google Nest Audio, za koje je predviđena nagrada od 60,000 dolara.

Koje specifične komponente problema još nisu prijavljene; ​​u skladu sa uslovima konkursa, detaljne informacije o svim pokazanim 0-dnevnim ranjivostima biće objavljene tek nakon 120 dana, koje se daju proizvođačima da pripreme ažuriranja koja eliminišu ranjivosti.

izvor: opennet.ru

Kupite pouzdan hosting za sajtove sa DDoS zaštitom, VPS VDS servere 🔥 Kupite pouzdan web hosting sa DDoS zaštitom, VPS VDS servere | ProHoster