Kokku on võetud Pwn2Own Toronto 2022 võistluse nelja päeva tulemused, kus demonstreeriti 63 seni teadmata turvaauku (0-päevane) mobiilseadmetes, printerites, nutikõlarites, salvestussüsteemides ja ruuterites. Rünnakutel kasutati uusimat püsivara ja operatsioonisüsteeme koos kõigi saadaolevate värskendustega ja vaikekonfiguratsioonis. Makstud tasude kogusumma oli 934,750 XNUMX USA dollarit.
Võistlusest võttis osa 36 meeskonda ja turvateadlasi. Edukaim DEVCORE meeskond suutis võistluselt teenida 142 tuhat USA dollarit. Teise koha võitjad (Team Viettel) said 82 tuhat dollarit ja kolmanda koha võitjad (NCC grupp) 78 tuhat dollarit.
Võistluse ajal demonstreeriti rünnakuid, mis viisid seadmetes koodi kaugkäitamiseni:
- Canoni imageCLASS MF743Cdw printer (11 edukat rünnakut, 5000 ja 10000 XNUMX dollari auhinnad).
- Lexmark MC3224i printer (8 rünnakut, boonused $7500, $10000 ja $5000).
- HP Color LaserJet Pro M479fdw printer (5 rünnakut, $5000, $10000 ja $20000 auhinda).
- Nutikas kõlar Sonos One Speaker (3 rünnakut, lisatasud 22500 60000 ja XNUMX XNUMX dollarit).
- Synology DiskStation DS920+ võrgusalvestus (kaks rünnakut, lisatasud 40000 20000 ja XNUMX XNUMX dollarit).
- WD My Cloud Pro PR4100 võrgusalvestusruum (3 auhinda $ 20000 40000 ja üks auhind $ XNUMX XNUMX).
- Synology RT6600ax ruuter (5 rünnakut WAN-i kaudu 20000 5000 dollari boonustega ja kaks 1250 dollari ja XNUMX dollari suurust boonust LAN-i kaudu rünnakute eest).
- Cisco integreeritud teenuse ruuter C921-4P (37500 XNUMX dollarit).
- Mikrotik RouterBoard RB2011UiAS-IN ruuter (100,000 XNUMX dollari auhind mitmeastmelise häkkimise eest – esmalt rünnati Mikrotik ruuterit ja seejärel pärast kohtvõrgule juurdepääsu saamist Canoni printerit).
- NETGEAR RAX30 AX2400 ruuter (7 rünnakut, $ 1250, $ 2500, $ 5000, $ 7500, $ 8500 ja $ 10000 lisatasud).
- TP-Link AX1800/Archer AX21 ruuter (WAN-rünnak, 20000 5000 $ lisatasu ja LAN-rünnak, $ XNUMX lisatasu).
- Ubiquiti EdgeRouter X SFP ruuter (50000 XNUMX dollarit).
- Samsung Galaxy S22 nutitelefon (4 rünnakut, kolm 25000 50000 dollari auhinda ja üks XNUMX XNUMX dollari auhind).
Lisaks ülalmainitud edukatele rünnakutele lõppes 11 turvaaukude ärakasutamise katset ebaõnnestumisega. Võistlusel tehti ettepanek häkkida ka Apple iPhone 13 ja Google Pixel 6, kuid rünnakute läbiviimiseks avaldusi ei laekunud, kuigi maksimaalne tasu nende seadmete kerneli tasemel koodi käivitamist võimaldava ärakasutamise ettevalmistamise eest oli 250,000 15 dollarit. . Välja nõudmata jäid ka ettepanekud koduautomaatikasüsteemide Amazon Echo Show 60,000, Meta Portal Go ja Google Nest Hub Max ning nutikõlarite Apple HomePod Mini, Amazon Echo Studio ja Google Nest Audio häkkimiseks, mille häkkimise auhinnaks oli XNUMX XNUMX dollarit.
Milliseid konkreetseid probleemi komponente pole veel teatatud, vastavalt konkursitingimustele avaldatakse alles 0 päeva pärast üksikasjalik teave kõigi demonstreeritud 120-päevaste turvaaukude kohta, mis antakse tootjatele turvaauke kõrvaldavate uuenduste ettevalmistamiseks.
Allikas: opennet.ru