I risultati di quattru ghjorni di a cumpetizione Pwn2Own Toronto 2022 sò stati riassunti, in quale 63 vulnerabilità precedentemente scunnisciute (0-day) in i dispositi mobili, stampanti, parlanti intelligenti, sistemi di almacenamento è routers sò stati dimustrati. L'attacchi anu utilizatu l'ultimi firmware è sistemi operativi cù tutte l'aghjurnamenti dispunibili è in a cunfigurazione predeterminata. L'ammontu tutale di i tariffi pagati era US $ 934,750.
36 squadre è circadori di sicurità anu participatu à a cumpetizione. U squadra DEVCORE più successu hà sappiutu guadagnà 142 mila dollari americani da u cuncorsu. U vincitore di u sicondu postu (Team Viettel) hà ricivutu $ 82 mila, è u terzu postu (gruppu NCC) hà ricevutu $ 78 mila.
Durante a cumpetizione, l'attacchi sò stati dimustrati chì anu purtatu à l'esekzione di codice remota nantu à i dispositi:
- Stampante Canon imageCLASS MF743Cdw (11 attacchi successi, $ 5000 è $ 10000 premii).
- Stampante Lexmark MC3224i (8 attacchi, bonus di $ 7500, $ 10000 è $ 5000).
- Stampante HP Color LaserJet Pro M479fdw (5 attacchi, $ 5000, $ 10000 è $ 20000 premi).
- Smart speaker Sonos One Speaker (3 attacchi, premium $ 22500 è $ 60000).
- Synology DiskStation DS920+ almacenamentu in rete (dui attacchi, $ 40000 è $ 20000 premium).
- WD My Cloud Pro PR4100 Network Storage (3 premii di $ 20000 è un premiu di $ 40000).
- Router Synology RT6600ax (5 attacchi via WAN cù bonus di $ 20000 è dui bonus di $ 5000 è $ 1250 per attacchi via LAN).
- Router di serviziu integratu Cisco C921-4P ($ 37500).
- Router Mikrotik RouterBoard RB2011UiAS-IN (premiu di $ 100,000 per pirate multi-stadi - prima u router Mikrotik hè statu attaccatu, è dopu, dopu avè accessu à a LAN, una stampante Canon).
- Router NETGEAR RAX30 AX2400 (7 attacchi, $ 1250, $ 2500, $ 5000, $ 7500, $ 8500 è $ 10000 premium).
- Router TP-Link AX1800/Archer AX21 (attaccu WAN, $ 20000 premium, è attaccu LAN, $ 5000 premium).
- Ubiquiti EdgeRouter X SFP Router ($ 50000).
- Smartphone Samsung Galaxy S22 (4 attacchi, trè premii di $ 25000 è un premiu di $ 50000).
In più di l'attacchi riesciuti sopra menzionati, 11 tentativi di sfruttà e vulnerabilità anu fiascatu. A cumpetizione hà ancu inclusu una sfida per pirate Apple. iPhone 13 è Google Pixel 6, ma ùn sò state ricevute richieste d'attacchi, malgradu a ricumpensa massima per u sviluppu di un exploit chì permetterebbe l'esecuzione di codice à livellu di kernel per questi dispositivi chì hè di $ 250,000. Inoltre, ùn sò state rivendicate offerte per pirate i sistemi di domotica Amazon Echo Show 15, Meta Portal Go è Google Nest Hub Max, è ancu l'altoparlanti intelligenti Apple HomePod Mini, Amazon Echo Studio è Google Nest Audio, chì avianu una ricumpensa di $ 60,000.
Qualessi cumpunenti specifichi di u prublema ùn sò ancu infurmati in cunfurmità cù i termini di a cumpetizione, l'infurmazioni detallati nantu à tutte e vulnerabili dimustrati di u ghjornu 0 seranu publicati solu dopu à 120 ghjorni, chì sò dati à i pruduttori per preparà l'aghjurnamenti chì eliminanu i vulnerabili.
Source: opennet.ru
