Сумирани се резултатите од четирите дена од натпреварот Pwn2Own Toronto 2022, на кој беа демонстрирани 63 досега непознати пропусти (0-ден) во мобилни уреди, принтери, паметни звучници, системи за складирање и рутери. Нападите го користеа најновиот фирмвер и оперативни системи со сите достапни ажурирања и во стандардната конфигурација. Вкупниот износ на платени такси беше 934,750 УСД.
На натпреварот учествуваа 36 тимови и безбедносни истражувачи. Најуспешниот тим на DEVCORE успеа да заработи 142 илјади американски долари од натпреварот. Второпласираните (Тим Вител) добија 82 илјади долари, а третопласираните (НЦЦ група) 78 илјади долари.
За време на натпреварот, беа демонстрирани напади кои доведоа до далечинско извршување на кодот на уредите:
- Печатач Canon imageCLASS MF743Cdw (11 успешни напади, награди од 5000 и 10000 долари).
- Печатач Lexmark MC3224i (8 напади, бонуси од $7500, $10000 и $5000).
- HP Color LaserJet Pro M479fdw печатач (5 напади, награди од 5000, 10000 и 20000 долари).
- Паметен звучник Sonos One Speaker (3 напади, премии 22500 и 60000 долари).
- Synology DiskStation DS920+ мрежно складирање (два напади, премии од 40000 долари и 20000 долари).
- WD My Cloud Pro PR4100 Network Storage (3 награди од $20000 и една награда од $40000).
- Рутер Synology RT6600ax (5 напади преку WAN со бонуси од 20000 долари и два бонуси од 5000 долари и 1250 долари за напади преку LAN).
- Cisco интегриран сервисен рутер C921-4P (37500 долари).
- Mikrotik RouterBoard RB2011UiAS-IN рутер (награда од 100,000 долари за хакирање во повеќе фази - прво беше нападнат рутерот на Mikrotik, а потоа, откако доби пристап до LAN, печатачот од Canon).
- Рутер NETGEAR RAX30 AX2400 (7 напади, 1250 $, 2500 $, 5000 $, 7500 $, 8500 $ и 10000 $ премии).
- Рутер TP-Link AX1800/Archer AX21 (напад на WAN, премија од 20000 долари и напад на LAN, премија од 5000 долари).
- Ubiquiti EdgeRouter X SFP рутер (50000 долари).
- Паметен телефон Samsung Galaxy S22 (4 напади, три награди од 25000 долари и една награда од 50000 долари).
Покрај успешните напади наведени погоре, 11 обиди за искористување на пропустите завршија неуспешно. На натпреварот беше предложено и хакирање на Apple iPhone 13 и Google Pixel 6, но не пристигнаа апликации за извршување напади, иако максималната награда за подготовка на експлоат што овозможува извршување на код на ниво на јадро за овие уреди беше 250,000 долари. . Предлозите за хакирање на системи за домашна автоматизација Amazon Echo Show 15, Meta Portal Go и Google Nest Hub Max, како и паметните звучници Apple HomePod Mini, Amazon Echo Studio и Google Nest Audio, чија награда за хакирање беше 60,000 долари, исто така останаа неподигнати.
Кои специфични компоненти на проблемот сè уште не се пријавени; во согласност со условите на конкурсот, деталните информации за сите демонстрирани 0-дневни пропусти ќе бидат објавени дури по 120 дена, кои им се даваат на производителите да подготват ажурирања што ги елиминираат пропустите.
Извор: opennet.ru