Төрт күндік Pwn2Own Toronto 2022 байқауының нәтижелері жарияланды. Мобильді құрылғылардағы, принтерлердегі, ақылды динамиктердегі, сақтау жүйелеріндегі және маршрутизаторлардағы бұрын белгісіз болған 63 нөлдік күндік осалдық көрсетілді. Шабуылдар барлық қолжетімді жаңартулары мен әдепкі конфигурациялары бар ең соңғы микробағдарлама мен операциялық жүйелерді пайдаланды. Төленген жалпы сыйақы 0 934,750 АҚШ долларын құрады.
Байқауға отыз алты команда мен қауіпсіздік саласындағы зерттеушілер қатысты. Ең табысты команда DEVCORE 142 000 АҚШ долларын тапты. Екінші орын иегерлері (Team Viettel) 82 000 АҚШ долларын, ал үшінші орын иегерлері (NCC тобы) 78 000 АҚШ долларын алды.
Байқау барысында құрылғыларда қашықтан кодты орындауға әкелетін шабуылдар көрсетілді:
- Canon imageCLASS MF743Cdw принтері (11 сәтті шабуыл, $5000 және $10000 сыйлықтар).
- Lexmark MC3224i принтері (8 шабуыл, $7500, $10000 және $5000 бонустар).
- HP Color LaserJet Pro M479fdw принтері (5 шабуыл, $5000, $10000 және $20000 сыйлықтар).
- Sonos One Speaker (3 шабуыл, 22 500 доллар және 60 000 доллар сыйақы).
- Synology DiskStation DS920+ желілік тіркелген сақтау орны (екі шабуыл, $40000 және $20000 сыйақылар).
- WD My Cloud Pro PR4100 желілік сақтау орны (3 $20000 сыйлық және 1 $40000 сыйлық).
- Synology RT6600ax маршрутизаторы (20 000 доллар сыйақысымен 5 WAN шабуылы және 5000 және 1250 доллар көлеміндегі екі LAN шабуыл сыйақысы).
- Cisco интеграцияланған қызмет көрсету маршрутизаторы C921-4P ($37500).
- Mikrotik RouterBoard RB2011UiAS-IN маршрутизаторы (көп сатылы бұзу үшін 100 000 доллар сыйақы - алдымен Mikrotik маршрутизаторына, содан кейін жергілікті желіге - Canon принтеріне қол жеткізгеннен кейін шабуыл жасалды).
- NETGEAR RAX30 AX2400 маршрутизаторы (7 шабуыл, $1250, $2500, $5000, $7500, $8500 және $10000 бонустар).
- TP-Link AX1800/Archer AX21 маршрутизаторы (WAN шабуылы, $20000 премиум және LAN шабуылы, $5000 премиум).
- Ubiquiti EdgeRouter X SFP маршрутизаторы ($50000).
- Samsung Galaxy S22 смартфоны (4 шабуыл, үш 25 000 долларлық жүлде және бір 50 000 долларлық жүлде).
Жоғарыда аталған сәтті шабуылдардан басқа, осалдықтарды пайдалануға бағытталған 11 әрекет сәтсіз аяқталды. Байқауға Apple компаниясын бұзу сынағы да кірді. iPhone 13 және Google Pixel 6 құрылғылары үшін, бірақ бұл құрылғылар үшін ядро деңгейіндегі кодты орындауға мүмкіндік беретін эксплойт әзірлеу үшін ең жоғары сыйақы 250 000 АҚШ доллары болғанына қарамастан, шабуылдарға қатысты сұраныстар түскен жоқ. Сондай-ақ, Amazon Echo Show 15, Meta Portal Go және Google Nest Hub Max үй автоматтандыру жүйелерін, сондай-ақ 60 000 АҚШ доллары сыйақы алған Apple HomePod Mini, Amazon Echo Studio және Google Nest Audio ақылды динамиктерін бұзу ұсыныстары талап етілмеді.
Мәселенің әсер еткен нақты компоненттері әлі жарияланған жоқ. Байқау шарттарына сәйкес, көрсетілген барлық 0 күндік осалдықтары туралы егжей-тегжейлі ақпарат тек 120 күннен кейін, яғни жеткізушілер осалдықтарды жоюға арналған жаңартуларды дайындауы керек уақыттан кейін жарияланады.
Ақпарат көзі: opennet.ru
