Niðurstöður fjögurra daga Pwn2Own Toronto 2022 keppninnar hafa verið teknar saman, þar sem sýnt var fram á 63 áður óþekkta veikleika (0 daga) í fartækjum, prenturum, snjallhátölurum, geymslukerfum og beinum. Árásirnar notuðu nýjasta vélbúnaðinn og stýrikerfin með öllum tiltækum uppfærslum og í sjálfgefna stillingu. Heildarupphæð greiddra gjalda var 934,750 Bandaríkjadalir.
36 lið og öryggisfræðingar tóku þátt í keppninni. Sigursælasta DEVCORE liðið náði að vinna sér inn 142 þúsund Bandaríkjadali á keppninni. Sigurvegarar í öðru sæti (Team Viettel) fengu $82 þúsund og sigurvegarar í þriðja sæti (NCC hópur) fengu $78 þúsund.
Í keppninni var sýnt fram á árásir sem leiddu til keyrslu á fjarkóða á tækjum:
- Canon imageCLASS MF743Cdw prentari (11 vel heppnaðar árásir, $5000 og $10000 verðlaun).
- Lexmark MC3224i prentari (8 árásir, bónus upp á $7500, $10000 og $5000).
- HP Color LaserJet Pro M479fdw prentari (5 árásir, $5000, $10000 og $20000 verðlaun).
- Snjallhátalari Sonos One Speaker (3 árásir, iðgjöld $22500 og $60000).
- Synology DiskStation DS920+ netgeymsla (tvær árásir, $40000 og $20000 iðgjöld).
- WD My Cloud Pro PR4100 netgeymsla (3 verðlaun að upphæð $20000 og ein verðlaun upp á $40000).
- Synology RT6600ax beini (5 árásir í gegnum WAN með $20000 bónusum og tveir bónusar upp á $5000 og $1250 fyrir árásir í gegnum staðarnet).
- Cisco Integrated Service Router C921-4P ($37500).
- Mikrotik RouterBoard RB2011UiAS-IN bein ($100,000 verðlaun fyrir fjölþrepa reiðhestur - fyrst var ráðist á Mikrotik beininn og síðan, eftir að hafa fengið aðgang að staðarnetinu, Canon prentara).
- NETGEAR RAX30 AX2400 leið (7 árásir, $1250, $2500, $5000, $7500, $8500 og $10000 iðgjöld).
- TP-Link AX1800/Archer AX21 bein (WAN árás, $20000 aukagjald, og LAN árás, $5000 aukagjald).
- Ubiquiti EdgeRouter X SFP leið ($50000).
- Samsung Galaxy S22 snjallsími (4 árásir, þrjú $25000 verðlaun og ein $50000 verðlaun).
Til viðbótar við árangursríkar árásir sem nefndar eru hér að ofan, enduðu 11 tilraunir til að nýta sér veikleika með mistökum. Í keppninni var einnig lagt til að hakka Apple iPhone 13 og Google Pixel 6, en engar umsóknir bárust fyrir að framkvæma árásir, þó hámarksverðlaun fyrir að undirbúa hetjudáð sem gerir kleift að keyra kóða á kjarnastigi fyrir þessi tæki hafi verið $250,000 . Tillögur um að hakka sjálfvirknikerfi heimilanna Amazon Echo Show 15, Meta Portal Go og Google Nest Hub Max, auk snjallhátalara Apple HomePod Mini, Amazon Echo Studio og Google Nest Audio, en verðlaunin fyrir innbrot voru $60,000, voru einnig ósótt.
Hvaða tilteknu þættir vandamálsins eru ekki enn tilkynntir; í samræmi við keppnisskilmálana verða nákvæmar upplýsingar um alla sýnda 0-daga veikleika aðeins birtar eftir 120 daga, sem eru gefnar framleiðendum til að undirbúa uppfærslur sem útrýma veikleikum.
Heimild: opennet.ru