Resultaterne af de fire dage af Pwn2Own Toronto 2022-konkurrencen er blevet opsummeret, hvor 63 tidligere ukendte sårbarheder (0-dages) i mobile enheder, printere, smarthøjttalere, lagringssystemer og routere blev demonstreret. Angrebene brugte den nyeste firmware og operativsystemer med alle tilgængelige opdateringer og i standardkonfiguration. Det samlede beløb, der blev udbetalt, var $934,750.
Konkurrencen involverede 36 hold og sikkerhedsforskere. Det mest succesrige hold, DEVCORE, formåede at tjene $142 i konkurrencen. Andenpladsvinderne (Team Viettel) modtog $82, og tredjepladsvinderen (NCC-gruppen) modtog $78.
Under konkurrencen blev der demonstreret angreb, der førte til fjernudførelse af kode på enheder:
- Canon imageCLASS MF743Cdw-printer (11 succesfulde angreb, præmier på $5000 og $10000).
- Lexmark MC3224i printer (8 angreb, bonusser på $7500, $10000 og $5000).
- HP Color LaserJet Pro M479fdw printer (5 hits, priser på $5000, $10000 og $20000).
- Sonos One Speaker Smart Speaker (3 angreb, priser på henholdsvis $22500 og $60000).
- Synology DiskStation DS920+ Network Attached Storage (to angreb, priser på henholdsvis $40000 og $20000).
- WD My Cloud Pro PR4100 netværkslagring (3 x $20000 og 40000 x $XNUMX).
- Synology RT6600ax router (5 WAN-angreb med belønninger på $20000 og to belønninger på $5000 og $1250 for LAN-angreb).
- Cisco integreret servicerouter C921-4P ($37500).
- Mikrotik RouterBoard RB2011UiAS-IN router ($100,000 i belønning for flertrinshack - først blev Mikrotik-routeren angrebet, og derefter efter at have fået adgang til LAN'et - Canon-printeren).
- NETGEAR RAX30 AX2400 Router (7 angreb, bonusser på $1250, $2500, $5000, $7500, $8500 og $10000).
- TP-Link AX1800/Archer AX21 router (WAN-angreb, $20000 præmie, og LAN-angreb, $5000 præmie).
- Ubiquiti EdgeRouter X SFP-router ($50000).
- Samsung Galaxy S22 smartphone (4 angreb, tre præmier på $25000 og én præmie på $50000).
Udover de førnævnte succesfulde angreb mislykkedes 11 forsøg på at udnytte sårbarheder. Konkurrencen omfattede også en udfordring om at hacke Apple. iPhone 13 og Google Pixel 6, men der blev ikke modtaget nogen anmodninger om angreb, på trods af at den maksimale belønning for at udvikle et angreb, der ville tillade kodeudførelse på kernelniveau for disse enheder, var $250,000. Tilbud om at hacke hjemmeautomationssystemerne Amazon Echo Show 15, Meta Portal Go og Google Nest Hub Max samt smarthøjttalerne Apple HomePod Mini, Amazon Echo Studio og Google Nest Audio, som havde en belønning på $60,000, blev også ikke gjort krav på.
De præcise komponenter i problemet er endnu ikke blevet rapporteret; i overensstemmelse med konkurrencens vilkår vil detaljerede oplysninger om alle påviste 0-dages sårbarheder først blive offentliggjort efter 120 dage, hvilket gives producenterne til at forberede opdateringer for at eliminere sårbarhederne.
Kilde: opennet.ru
