Ir-riżultati ta’ erbat ijiem tal-kompetizzjoni Pwn2Own Toronto 2022 ġew miġbura fil-qosor, fejn intwerew 63 vulnerabbiltà li qabel ma kinux magħrufa (0-day) f’apparat mobbli, printers, spikers intelliġenti, sistemi ta’ ħażna u routers. L-attakki użaw l-aħħar firmware u sistemi operattivi bl-aġġornamenti kollha disponibbli u fil-konfigurazzjoni default. L-ammont totali ta’ miżati mħallsa kien ta’ US$934,750.
36 tim u riċerkatur tas-sigurtà ħadu sehem fil-kompetizzjoni. L-aktar tim DEVCORE ta 'suċċess irnexxielu jaqla' 142 elf dollaru Amerikan mill-kompetizzjoni. Ir-rebbieħa tat-tieni post (Team Viettel) irċevew $82 elf, u r-rebbieħa tat-tielet post (grupp NCC) irċevew $78 elf.
Matul il-kompetizzjoni, intwerew attakki li wasslu għal eżekuzzjoni remota ta 'kodiċi fuq apparati:
- Printer Canon imageCLASS MF743Cdw (11-il attakk b'suċċess, $5000 u $10000 premjijiet).
- Printer Lexmark MC3224i (8 attakki, bonuses ta' $7500, $10000 u $5000).
- Printer HP Color LaserJet Pro M479fdw (5 attakki, $5000, $10000 u $20000 premjijiet).
- Kelliem intelliġenti Sonos One Speaker (3 attakki, premiums $22500 u $60000).
- Ħażna tan-netwerk Synology DiskStation DS920+ (żewġ attakki, $40000 u $20000 premiums).
- WD My Cloud Pro PR4100 Network Storage (3 premjijiet ta '$ 20000 u premju wieħed ta' $ 40000).
- Synology RT6600ax router (5 attakki permezz WAN b'bonuses ta '$ 20000 u żewġ bonuses ta' $ 5000 u $ 1250 għal attakki permezz ta 'LAN).
- Router tas-Servizz Integrat Cisco C921-4P ($ 37500).
- Router Mikrotik RouterBoard RB2011UiAS-IN (premju ta '$ 100,000 għal hacking f'diversi stadji - l-ewwel ir-router Mikrotik ġie attakkat, u mbagħad, wara li kiseb aċċess għal-LAN, printer Canon).
- Router NETGEAR RAX30 AX2400 (7 attakki, $1250, $2500, $5000, $7500, $8500 u $10000 premiums).
- Router TP-Link AX1800/Archer AX21 (attakk WAN, $20000 premium, u LAN attakk, $5000 premium).
- Ubiquiti EdgeRouter X SFP Router ($ 50000).
- Smartphone Samsung Galaxy S22 (4 attakki, tliet premjijiet ta’ $25000 u premju wieħed ta’ $50000).
Minbarra l-attakki ta 'suċċess innotati hawn fuq, 11-il tentattiv biex jisfruttaw il-vulnerabbiltajiet spiċċaw f'falliment. Fil-kompetizzjoni, ġie propost ukoll li jiġu hackjati l-Apple iPhone 13 u l-Google Pixel 6, iżda ma ġew riċevuti l-ebda applikazzjonijiet għat-twettiq ta 'attakki, għalkemm il-premju massimu għall-preparazzjoni ta' sfruttament li jippermetti l-eżekuzzjoni ta 'kodiċi fil-livell tal-kernel għal dawn l-apparati kien $ 250,000 . Proposti għall-hacking tas-sistemi ta 'awtomazzjoni tad-dar Amazon Echo Show 15, Meta Portal Go u Google Nest Hub Max, kif ukoll kelliema intelliġenti Apple HomePod Mini, Amazon Echo Studio u Google Nest Audio, li l-premju għall-hacking tagħhom kien ta' $60,000, baqgħu wkoll mhux mitluba.
Liema komponenti speċifiċi tal-problema għadhom mhumiex irrappurtati; skont it-termini tal-kompetizzjoni, informazzjoni dettaljata dwar il-vulnerabbiltajiet kollha murija ta' 0-day se tiġi ppubblikata biss wara 120 jum, li tingħata lill-manifatturi biex jippreparaw aġġornamenti li jeliminaw il-vulnerabbiltajiet.
Sors: opennet.ru