Pwn2Own Toronto 2022 コンテストの 63 日間の結果が要約され、モバイル デバイス、プリンター、スマート スピーカー、ストレージ システム、ルーターの 0 件のこれまで知られていなかった脆弱性 (ゼロデイ) が実証されました。 この攻撃では、最新のファームウェアとオペレーティング システムが使用され、利用可能なすべてのアップデートが適用され、デフォルト構成が使用されました。 支払われた手数料の総額は 934,750 米ドルでした。
コンテストには 36 のチームとセキュリティ研究者が参加しました。 最も成功した DEVCORE チームは、コンテストから 142 米ドルを獲得することができました。 82 位の優勝者 (Team Viettel) は 78 ドル、XNUMX 位の優勝者 (NCC グループ) は XNUMX ドルを受け取りました。
コンテスト中に、デバイス上でリモート コードを実行する攻撃が実証されました。
- Canon imageCLASS MF743Cdw プリンター (11 件の攻撃成功、賞金 5000 ドルおよび 10000 ドル)。
- Lexmark MC3224i プリンター (攻撃 8 回、ボーナス $7500、$10000、$5000)。
- HP Color LaserJet Pro M479fdw プリンター (攻撃 5 回、賞金 5000 ドル、10000 ドル、20000 ドル)。
- スマート スピーカー Sonos One Speaker (3 回の攻撃、保険料 22500 ドルと 60000 ドル)。
- Synology DiskStation DS920+ ネットワーク ストレージ (40000 つの攻撃、20000 ドルと XNUMX ドルのプレミアム)。
- WD My Cloud Pro PR4100 ネットワーク ストレージ (3 ドルの 20000 つの賞と 40000 ドルの XNUMX つの賞)。
- Synology RT6600ax ルーター (WAN 経由の攻撃 5 回で 20000 ドルのボーナス、LAN 経由の攻撃で 5000 ドルと 1250 ドルのボーナス XNUMX 回)。
- Cisco サービス統合型ルータ C921-4P (37500 ドル)。
- Mikrotik RouterBoard RB2011UiAS-IN ルーター (多段階ハッキングで 100,000 ドルの賞金 - 最初に Mikrotik ルーターが攻撃され、次に LAN にアクセスした後、Canon プリンターが攻撃されました)。
- NETGEAR RAX30 AX2400 ルーター (7 回の攻撃、$1250、$2500、$5000、$7500、$8500、および $10000 のプレミアム)。
- TP-Link AX1800/Archer AX21 ルーター (WAN 攻撃、プレミアム 20000 ドル、LAN 攻撃、プレミアム 5000 ドル)。
- Ubiquiti EdgeRouter X SFP ルーター (50000 ドル)。
- Samsung Galaxy S22 スマートフォン (攻撃 4 回、25000 ドルの賞金 50000 回、XNUMX ドルの賞金 XNUMX 回)。
上記の成功した攻撃に加えて、脆弱性を悪用する試みが 11 件失敗に終わりました。 コンテストでは、Apple iPhone 13 と Google Pixel 6 をハッキングすることも提案されましたが、これらのデバイスのカーネル レベルでコードを実行できるエクスプロイトを準備することに対する最高賞金は 250,000 万ドルでしたが、攻撃を実行するための申請は受理されませんでした。 。 ホームオートメーションシステムのAmazon Echo Show 15、Meta Portal Go、Google Nest Hub Max、スマートスピーカーのApple HomePod Mini、Amazon Echo Studio、Google Nest Audio(ハッキングの賞金は60,000万ドル)のハッキング提案も未請求のままだ。
問題の特定のコンポーネントはまだ報告されていません。コンテストの規約に従って、実証されたすべてのゼロデイ脆弱性に関する詳細情報は 0 日後にのみ公開され、脆弱性を排除するアップデートを準備するためにメーカーに提供されます。
出所: オープンネット.ru