Byly sečteny výsledky čtyř dnů soutěže Pwn2Own Toronto 2022, na které bylo demonstrováno 63 dosud neznámých zranitelností (0-day) v mobilních zařízeních, tiskárnách, chytrých reproduktorech, úložných systémech a routerech. K útokům byl použit nejnovější firmware a operační systémy se všemi dostupnými aktualizacemi a ve výchozí konfiguraci. Celková výše zaplacených poplatků byla 934,750 XNUMX USD.
Soutěže se zúčastnilo 36 týmů a bezpečnostních výzkumníků. Nejúspěšnějšímu týmu DEVCORE se podařilo na soutěži vydělat 142 tisíc amerických dolarů. Vítězové na druhém místě (Team Viettel) obdrželi 82 tisíc dolarů a vítězové na třetím místě (skupina NCC) obdrželi 78 tisíc dolarů.
Během soutěže byly prokázány útoky, které vedly ke vzdálenému spuštění kódu na zařízeních:
- Tiskárna Canon imageCLASS MF743Cdw (11 úspěšných útoků, ocenění 5000 10000 USD a XNUMX XNUMX USD).
- Tiskárna Lexmark MC3224i (8 útoků, bonusy 7500 $, 10000 $ a 5000 $).
- Tiskárna HP Color LaserJet Pro M479fdw (5 útoků, ocenění 5000 10000 USD, 20000 XNUMX USD a XNUMX XNUMX USD).
- Chytrý reproduktor Sonos One Speaker (3 útoky, prémie 22500 60000 $ a XNUMX XNUMX $).
- Síťové úložiště Synology DiskStation DS920+ (dva útoky, prémie 40000 20000 USD a XNUMX XNUMX USD).
- Síťové úložiště WD My Cloud Pro PR4100 (3 ocenění 20000 40000 USD a jedno ocenění XNUMX XNUMX USD).
- Router Synology RT6600ax (5 útoků přes WAN s bonusy 20000 5000 $ a dva bonusy 1250 XNUMX $ a XNUMX XNUMX $ za útoky přes LAN).
- Cisco Integrated Service Router C921-4P (37500 XNUMX USD).
- Router Mikrotik RouterBoard RB2011UiAS-IN (odměna 100,000 XNUMX USD za vícestupňové hackování – nejprve byl napaden router Mikrotik a poté po získání přístupu do LAN tiskárna Canon).
- Router NETGEAR RAX30 AX2400 (7 útoků, prémie 1250 $, 2500 $, 5000 $, 7500 $, 8500 $ a 10000 XNUMX $).
- Router TP-Link AX1800/Archer AX21 (útok WAN, prémie 20000 5000 $ a útok LAN, prémie XNUMX XNUMX $).
- Ubiquiti EdgeRouter X SFP Router (50000 XNUMX $).
- Smartphone Samsung Galaxy S22 (4 útoky, tři ocenění 25000 50000 USD a jedno ocenění XNUMX XNUMX USD).
Kromě výše uvedených úspěšných útoků skončilo neúspěšně 11 pokusů o zneužití zranitelnosti. Na soutěži bylo také navrženo hacknout Apple iPhone 13 a Google Pixel 6, ale nebyly obdrženy žádné aplikace pro provádění útoků, ačkoli maximální odměna za přípravu exploitu, který umožňuje spouštění kódu na úrovni jádra pro tato zařízení, byla 250,000 15 $. . Nevyzvednuty zůstaly také návrhy na hackování systémů domácí automatizace Amazon Echo Show 60,000, Meta Portal Go a Google Nest Hub Max, stejně jako chytré reproduktory Apple HomePod Mini, Amazon Echo Studio a Google Nest Audio, jejichž cena za hackování byla XNUMX XNUMX dolarů.
Které konkrétní složky problému zatím nejsou hlášeny, v souladu s podmínkami soutěže budou podrobné informace o všech prokázaných 0denních zranitelnostech zveřejněny až po 120 dnech, které jsou dány výrobcům k přípravě aktualizací, které zranitelnosti eliminují.
Zdroj: opennet.ru