Összefoglalták a Pwn2Own Toronto 2022 verseny négy napjának eredményeit, amelyen 63 eddig ismeretlen (0 napos) sebezhetőséget mutattak be mobil eszközökben, nyomtatókban, okoshangszórókban, tárolórendszerekben és routerekben. A támadások a legújabb firmware-t és operációs rendszert használták az összes elérhető frissítéssel és az alapértelmezett konfigurációban. A fizetett díjak teljes összege 934,750 XNUMX USD volt.
A versenyen 36 csapat és biztonsági kutató vett részt. A legeredményesebb DEVCORE csapatnak 142 ezer amerikai dollárt sikerült keresnie a versenyen. A második helyezettek (Team Viettel) 82 ezer dollárt, a harmadik helyezettek (NCC csoport) 78 ezer dollárt kaptak.
A verseny során olyan támadásokat mutattak be, amelyek távoli kódfuttatáshoz vezettek az eszközökön:
- Canon imageCLASS MF743Cdw nyomtató (11 sikeres támadás, 5000 és 10000 XNUMX dolláros díjak).
- Lexmark MC3224i nyomtató (8 támadás, 7500, 10000 és 5000 dolláros bónuszok).
- HP Color LaserJet Pro M479fdw nyomtató (5 támadás, $5000, $10000 és $20000 díj).
- Intelligens hangszóró, Sonos One Speaker (3 támadás, prémium 22500 60000 és XNUMX XNUMX dollár).
- Synology DiskStation DS920+ hálózati tároló (két támadás, 40000 20000 USD és XNUMX XNUMX USD díj).
- WD My Cloud Pro PR4100 hálózati tárhely (3 díj 20000 40000 dolláros és egy XNUMX XNUMX dolláros díj).
- Synology RT6600ax router (5 támadás WAN-on keresztül 20000 5000 dolláros bónuszokkal és két 1250 dolláros és XNUMX dolláros bónusz a LAN-on keresztüli támadásokért).
- Cisco Integrated Service Router C921-4P (37500 XNUMX USD).
- Mikrotik RouterBoard RB2011UiAS-IN router (100,000 XNUMX dollár jutalom többlépcsős hackelésért – először a Mikrotik routert támadták meg, majd a LAN-hoz való hozzáférést követően egy Canon nyomtatót).
- NETGEAR RAX30 AX2400 Router (7 támadás, $1250, $2500, $5000, $7500, $8500 és $10000 prémium).
- TP-Link AX1800/Archer AX21 router (WAN támadás, 20000 5000 dollár prémium és LAN támadás, XNUMX XNUMX dollár prémium).
- Ubiquiti EdgeRouter X SFP Router (50000 XNUMX USD).
- Samsung Galaxy S22 okostelefon (4 támadás, három 25000 50000 dolláros és egy XNUMX XNUMX dolláros díj).
A fent említett sikeres támadásokon kívül a sebezhetőségek kihasználására tett 11 kísérlet is kudarccal végződött. A versenyen az Apple iPhone 13 és a Google Pixel 6 feltörését is javasolták, de támadások végrehajtására nem érkezett jelentkezés, bár a rendszermag szintű kódfuttatást lehetővé tevő exploit előkészítésének maximális jutalma 250,000 15 dollár volt ezen eszközökön. . Az Amazon Echo Show 60,000, a Meta Portal Go és a Google Nest Hub Max, valamint az Apple HomePod Mini, az Amazon Echo Studio és a Google Nest Audio intelligens hangszóróinak feltörésére vonatkozó javaslatok, amelyek feltöréséért XNUMX XNUMX dollár volt, szintén keresetlenek maradtak.
A probléma mely összetevőiről még nem számoltak be, a verseny feltételeinek megfelelően csak 0 nap elteltével jelennek meg részletes információk az összes kimutatott 120 napos sérülékenységről, amelyet a gyártók kapnak a sérülékenységet megszüntető frissítések elkészítésére.
Forrás: opennet.ru