Se anunciaron los resultados de la competencia Pwn2Own Automotive 2026, de tres días de duración y celebrada en la conferencia Automotive World de Tokio. La competencia presentó 66 vulnerabilidades de día cero previamente desconocidas en plataformas de infoentretenimiento, sistemas operativos y dispositivos de carga de vehículos eléctricos. Los ataques utilizaron el firmware y los sistemas operativos más recientes, con todas las actualizaciones disponibles y en sus configuraciones predeterminadas.
El monto total de las recompensas pagadas fue de $955. El equipo más exitoso, Fuzzware.io, ganó $213. El segundo lugar (Team DDOS) recibió $95, y el tercero (Synacktiv) $85.
Durante la competición se demostraron los siguientes ataques:
- Hackear un entorno de distribución Linux de grado automotriz ($4000 por explotar una cadena de tres vulnerabilidades que involucran lecturas fuera de límites, agotamiento de memoria y desbordamientos de búfer).
- 12 hackeos al sistema de infoentretenimiento Alpine iLX-511 ($20000, 2 x $10000 y $5000 por explotar vulnerabilidades que conducen a desbordamientos de buffer; $10000, 2 x $5000 y 4 x $2500 por una vulnerabilidad que permite el acceso a un método peligroso; $10000 por una vulnerabilidad que conduce a la sustitución de comandos).
- 12 hacks del sistema de infoentretenimiento Kenwood DNR1007XR ($20000 y $10000 por vulnerabilidades de desbordamiento de buffer; $8000 por un exploit que aprovechó un problema de credenciales codificadas previamente conocido pero no parcheado, combinado con derechos de acceso incorrectos a un recurso crítico y una vulnerabilidad de sustitución de comandos; $4000 por un exploit que aprovechó condiciones de carrera previamente conocidas pero no parcheadas y derechos de acceso incorrectos; $8000 y 3 x $2500 por explotar una vulnerabilidad conocida que permanece sin parchear; $8000 por explotar una cadena de 3 vulnerabilidades: credenciales codificadas, derechos de acceso incorrectos y sin verificación de enlace simbólico; $6000, $5000 y $4000 por vulnerabilidades que conducen a la sustitución de comandos).
- 4 hacks para el sistema de infoentretenimiento Sony XAV-9500ES ($20000 por un exploit que utiliza una cadena de tres errores; 3 por $10000 por explotar un desbordamiento de búfer).
- Sistema de infoentretenimiento del automóvil Tesla fue hackeado vía USB (35000 dólares por filtración de información y exploit de desbordamiento de búfer).
- 10 ataques a la estación de carga Grizzl-E Smart 40A ($40000 por credenciales codificadas y controles de integridad del código de arranque faltantes; $25000 y $10000 por omisión de autenticación; $10000 por desbordamiento de búfer; $22500, $20000, 3 x $15000 y $5000 por exploits que utilizan cadenas de 3 o 2 errores).
- 7 ataques a la estación de carga CHARX SEC-3150 de Phoenix Contact ($50000 por sustitución de comandos y explotación de condición de carrera; $50000, $20000, $19250 y $6750 por ataques que utilizan cadenas de 3, 5 y 6 errores; $20000 por explotación de vulnerabilidades que permitían eludir la autenticación y escalar privilegios; $15000 por explotación que utiliza una cadena de 3 errores).
- 4 hackeos a la estación de carga Autel MaxiCharger AC Elite Home 40A ($50000, $20000 y $10000 por vulnerabilidades que permitían eludir la autenticación y la verificación de firma digital; $30000 por una vulnerabilidad que conducía a un desbordamiento de búfer).
- 4 hackeos a la estación de carga ChargePoint Home Flex CPH50-K ($40000, 2 x $30000 y $16750 por vulnerabilidades de sustitución de comandos y manejo de enlaces simbólicos).
- 4 hacks de la estación de carga Alpitronic HYC50 ($60000 por exploit de desbordamiento de búfer; $40000 por exploit de método peligroso; $20000 por exploit de condición de carrera; $20000)
Además de los ataques exitosos mencionados, nueve intentos de explotar las vulnerabilidades fracasaron, en todos los casos porque los equipos no completaron el ataque dentro del tiempo asignado. Los intentos fallidos incluyeron el hackeo de los dispositivos Kenwood DNR1007XR, Alpine iLX-F511, Autel MaxiCharger AC Elite Home 40A, EMPORIA Pro Charger Level 2, ChargePoint Home Flex, Sony XAV-9500ES y Grizzl-E Smart 40A.
De acuerdo con los términos del concurso, la información detallada sobre todas las vulnerabilidades de día 0 demostradas se publicará solo después de 90 días, que se entrega a los fabricantes para preparar actualizaciones que eliminen las vulnerabilidades.
Fuente: opennet.ru
