Pwn2Own Toronto 2022 -kilpailun neljän päivän tulokset on koottu, jolloin esiteltiin 63 aiemmin tuntematonta haavoittuvuutta (0-päivä) mobiililaitteissa, tulostimissa, älykaiuttimissa, tallennusjärjestelmissä ja reitittimissä. Hyökkäyksissä käytettiin uusinta laiteohjelmistoa ja käyttöjärjestelmiä kaikilla saatavilla olevilla päivityksillä ja oletuskokoonpanossa. Maksettujen maksujen kokonaismäärä oli 934,750 XNUMX US$.
Kilpailuun osallistui 36 tiimiä ja turvallisuustutkijaa. Menestynein DEVCORE-tiimi onnistui tienaamaan kilpailusta 142 tuhatta dollaria. Toisen sijan voittajat (Team Viettel) saivat 82 tuhatta dollaria ja kolmannen sijan voittajat (NCC-ryhmä) 78 tuhatta dollaria.
Kilpailun aikana osoitettiin hyökkäyksiä, jotka johtivat koodin etäsuorittamiseen laitteissa:
- Canon imageCLASS MF743Cdw -tulostin (11 onnistunutta hyökkäystä, 5000 10000 dollarin ja XNUMX XNUMX dollarin palkintoja).
- Lexmark MC3224i -tulostin (8 hyökkäystä, bonukset $7500, $10000 ja $5000).
- HP Color LaserJet Pro M479fdw -tulostin (5 hyökkäystä, $5000, $10000 ja $20000 palkintoja).
- Älykäs kaiutin Sonos One Speaker (3 hyökkäystä, palkkiot 22500 60000 dollaria ja XNUMX XNUMX dollaria).
- Synology DiskStation DS920+ -verkkotallennustila (kaksi hyökkäystä, 40000 20000 dollarin ja XNUMX XNUMX dollarin palkkiot).
- WD My Cloud Pro PR4100 -verkkotallennustila (kolme 3 20000 dollarin palkintoa ja yksi 40000 XNUMX dollarin palkinto).
- Synology RT6600ax -reititin (5 hyökkäystä WAN:n kautta 20000 5000 dollarin bonuksilla ja kaksi 1250 XNUMX dollarin ja XNUMX XNUMX dollarin bonusta lähiverkon kautta tehdyistä hyökkäyksistä).
- Cisco Integrated Service Router C921-4P (37500 XNUMX dollaria).
- Mikrotik RouterBoard RB2011UiAS-IN -reititin (100,000 XNUMX dollarin palkinto monivaiheisesta hakkeroinnista - ensin hyökättiin Mikrotik-reitittimeen ja sitten LAN-verkkoon pääsyn jälkeen Canonin tulostimeen).
- NETGEAR RAX30 AX2400 -reititin (7 hyökkäystä, $1250, $2500, $5000, $7500, $8500 ja $10000 palkkiot).
- TP-Link AX1800/Archer AX21 -reititin (WAN-hyökkäys, 20000 5000 dollarin palkkio ja LAN-hyökkäys, XNUMX XNUMX dollaria).
- Ubiquiti EdgeRouter X SFP -reititin (50000 XNUMX dollaria).
- Samsung Galaxy S22 -älypuhelin (4 hyökkäystä, kolme 25000 50000 dollarin palkintoa ja yksi XNUMX XNUMX dollarin palkinto).
Yllä mainittujen onnistuneiden hyökkäysten lisäksi 11 yritystä hyödyntää haavoittuvuuksia päättyi epäonnistumiseen. Kilpailussa ehdotettiin myös Apple iPhone 13:n ja Google Pixel 6:n hakkerointia, mutta hakemuksia hyökkäysten toteuttamisesta ei saatu, vaikka maksimipalkkio näiden laitteiden ydintason koodin suorittamisen mahdollistavan hyväksikäytön valmistelemisesta oli 250,000 15 dollaria. . Lunastamatta jäi myös ehdotuksia kodin automaatiojärjestelmien Amazon Echo Show 60,000, Meta Portal Go ja Google Nest Hub Max sekä älykaiuttimien Apple HomePod Mini, Amazon Echo Studio ja Google Nest Audio, joiden hakkeroinnin palkinto oli XNUMX XNUMX dollaria, hakkerointia varten.
Mitä erityisiä ongelman osia ei ole vielä raportoitu, kilpailun ehtojen mukaisesti yksityiskohtaiset tiedot kaikista osoitetuista 0-päivän haavoittuvuuksista julkaistaan vasta 120 päivän kuluttua, jotka annetaan valmistajille haavoittuvuuksia poistavien päivitysten valmistelemiseksi.
Lähde: opennet.ru