Pwn2Own Toronto 2022 байқауының төрт күндік қорытындысы шығарылды, онда мобильді құрылғылардағы, принтерлердегі, смарт динамиктердегі, сақтау жүйелері мен маршрутизаторлардағы бұрын белгісіз 63 осалдық (0 күн) көрсетілді. Шабуылдар барлық қолжетімді жаңартулары бар және әдепкі конфигурацияда соңғы микробағдарламаны және операциялық жүйелерді пайдаланды. Төленген алымдардың жалпы сомасы 934,750 XNUMX АҚШ долларын құрады.
Жарысқа 36 команда мен қауіпсіздік зерттеушілері қатысты. Ең табысты DEVCORE командасы жарыстан 142 мың АҚШ долларын таба алды. Екінші орын иегерлері (Team Viettel) $82 мың, ал үшінші орын иегерлері (NCC тобы) $78 мың алды.
Байқау барысында құрылғыларда қашықтан кодты орындауға әкелетін шабуылдар көрсетілді:
- Canon imageCLASS MF743Cdw принтері (11 сәтті шабуыл, $5000 10000 және $ XNUMX XNUMX марапаттары).
- Lexmark MC3224i принтері (8 шабуыл, бонустар $7500, $10000 және $5000).
- HP Color LaserJet Pro M479fdw принтері (5 шабуыл, $5000, $10000 және $20000 марапаттары).
- Ақылды динамик Sonos One Speaker (3 шабуыл, премиум $22500 және $60000).
- Synology DiskStation DS920+ желілік жады (екі шабуыл, $40000 және $20000 премиум).
- WD My Cloud Pro PR4100 желілік сақтау орны (3 20000 доллардан 40000 сыйлық және XNUMX XNUMX доллардан бір сыйлық).
- Synology RT6600ax маршрутизаторы (5 20000 доллар бонустары бар WAN арқылы 5000 шабуыл және LAN арқылы жасалған шабуылдар үшін 1250 XNUMX және XNUMX XNUMX доллар екі бонус).
- Cisco Integrated Service Router C921-4P ($37500 XNUMX).
- Mikrotik RouterBoard RB2011UiAS-IN маршрутизаторы (көп сатылы бұзу үшін $100,000 XNUMX сыйлығы – алдымен Mikrotik маршрутизаторына шабуыл жасалды, содан кейін жергілікті желіге қол жеткізгеннен кейін Canon принтері).
- NETGEAR RAX30 AX2400 маршрутизаторы (7 шабуыл, $1250, $2500, $5000, $7500, $8500 және $10000 премиумдар).
- TP-Link AX1800/Archer AX21 маршрутизаторы (WAN шабуылы, премиум $20000 5000 және LAN шабуылы, $XNUMX XNUMX премиум).
- Ubiquiti EdgeRouter X SFP Router ($50000 XNUMX).
- Samsung Galaxy S22 смартфоны (4 шабуыл, үш 25000 50000 долларлық сыйлық және бір XNUMX XNUMX долларлық сыйлық).
Жоғарыда атап өткен сәтті шабуылдарға қоса, осалдықтарды пайдаланудың 11 әрекеті сәтсіз аяқталды. Байқауда сондай-ақ Apple iPhone 13 және Google Pixel 6-ны бұзу ұсынылды, бірақ шабуылдарды жүзеге асыруға өтінімдер түскен жоқ, бірақ бұл құрылғылар үшін ядро деңгейінде кодты орындауға мүмкіндік беретін эксплуатацияны дайындау үшін ең жоғары сыйақы $250,000 15 болды. . Amazon Echo Show 60,000, Meta Portal Go және Google Nest Hub Max үйді автоматтандыру жүйелерін бұзу, сондай-ақ Apple HomePod Mini, Amazon Echo Studio және Google Nest Audio смарт динамиктері, бұзу үшін сыйлығы XNUMX XNUMX долларды құраған ұсыныстар да талап етілмеді.
Мәселенің қандай нақты құрамдастары әлі хабарланбаған; Байқау шарттарына сәйкес, барлық көрсетілген 0 күндік осалдықтар туралы толық ақпарат 120 күннен кейін ғана жарияланады, олар өндірушілерге осалдықтарды жоятын жаңартуларды дайындау үшін беріледі.
Ақпарат көзі: opennet.ru