La rezultoj de kvar tagoj de la konkurso Pwn2Own Toronto 2023 estis resumitaj, ĉe kiu montriĝis 58 antaŭe nekonataj vundeblecoj (0-tago) en porteblaj aparatoj, presiloj, inteligentaj laŭtparoliloj, stokadsistemoj kaj enkursigiloj. La atakoj uzis la plej novajn firmvaro kaj operaciumojn kun ĉiuj disponeblaj ĝisdatigoj kaj en la defaŭlta agordo.
La totala sumo de pago pagita superis 1 milionon da usonaj dolaroj (1038500 180 116.250 USD). La plej sukcesa teamo, Team Viettel, sukcesis gajni 50 mil usonajn dolarojn de la konkurso. La dualokaj gajnintoj (Team Orca) ricevis $XNUMX mil, kaj la trialokaj (DEVCORE) ricevis $XNUMX mil.
Dum la konkurado, atakoj estis pruvitaj, kiuj kondukis al fora kodo-ekzekuto sur aparatoj:
- TP-Link Omada Gigabit Router ($ 100000 kaj $ 31250 por hakado kun Lexmark CX331ADWE-presilo; $ 50000 por hakado kun QNAP TS-464-reto-stokado; $ 40750 por hakado kun Synology BC500-kamerao; $ 50000 kaj 31250 $) por Hacking kun Canon BC753-mf.
- Synology RT6600ax-enkursigilo ($ 50000 por hakado kune kun QNAP TS-464 retstokado).
- Saĝtelefono Samsung Galaxy S23 (50000 25000 USD kaj tri gratifikoj de 6250 XNUMX USD por hakado de vundeblecoj kaŭzitaj de nesufiĉa konfirmo de eksteraj datumoj; XNUMX XNUMX USD por uzado de jam konata ekspluato).
- Smartphone Xiaomi 13 Pro (40000 20000 USD kaj XNUMX XNUMX USD).
- Synology BC500 CCTV-fotilo ($ 30000 premio por hakado tra bufro-superflua vundebleco; $ 15000 por ekspluato implikanta tri vundeblecojn; kvin premioj de $ 3750 ĉiu por uzado de jam konata ekspluato).
- Wyze Cam v3 sekurkamerao (30000 USD por komanda anstataŭiga ekspluato; 15000 USD por bufro-superflua ekspluato; 15000 USD por ekspluato implikanta du vundeblecojn; 15000 USD por bufro-superflua ekspluato en sendrata ŝoforo en la kerno; 3750 USD por uzo jam konata ekspluato).
- Reta stokado WD My Cloud Pro PR4100 ($40000 per ekspluato implikanta du vundeblecojn).
- Reta stokado QNAP TS-464 (40000 USD por ekspluatado implikanta tri vundeblecojn; 20000 USD por ekspluataĵo implikanta du vundeblecojn; 20000 USD por ekspluatado implikanta vundeblecojn implikantajn bazan dosierujan transiron kaj komandonanstataŭigon; 12500 USD kaj 5000 USD por uzado de jam konata ekspluato).
- Canon imageCLASS MF753Cdw printilo ($ 20000 kaj tri $ 10000 gratifikoj por hakado tra bufro-superflua vundebleco; $ 2500 kaj $ 2500 por uzado de jam konata ekspluato).
- Lexmark CX331adwe-presilo ($ 20000 por memor-korupta ekspluato; $ 10000 por bufro-superflua ekspluato).
- HP Color LaserJet Pro MFP 4301fdw presilo ($ 20000 por hako per bufra superflua vundebleco).
- Sonos Era 100 sendrata laŭtparolilo (60000 USD por ekspluato uzanta du vundeblecojn, kiuj kondukas al legado de memoro el la bufro kaj aliro al memoro post kiam ĝi estas liberigita; 30000 USD kaj 18750 USD por hakado de vundebleco kaŭzita de bufro superfluo).
Krom la supre menciitaj sukcesaj atakoj, 7 provoj ekspluati vundeblecojn finiĝis en fiasko (tri provoj haki la Canon imageCLASS MF753Cdw printilon, du provoj - Lexmark CX331adwe kaj du provoj - Xiamoi 13 Pro).
La specifaj komponantoj de la problemo ankoraŭ ne estis raportitaj. Konforme al la kondiĉoj de la konkurso, detalaj informoj pri ĉiuj pruvitaj 0-tagaj vundeblecoj estos publikigitaj nur post 90 tagoj, kiuj estas donitaj al la fabrikantoj por prepari ĝisdatigojn, kiuj forigas vundeblecojn.
fonto: opennet.ru