De resultaten van de vier dagen durende Pwn2Own Toronto 2022-competitie zijn samengevat, waarbij 63 voorheen onbekende kwetsbaarheden (0-day) in mobiele apparaten, printers, slimme speakers, opslagsystemen en routers werden gedemonstreerd. De aanvallen maakten gebruik van de nieuwste firmware en besturingssystemen met alle beschikbare updates en de standaardconfiguratie. Het totale bedrag aan uitgekeerde beloningen bedroeg $ 934,750.
Aan de wedstrijd namen 36 teams en beveiligingsonderzoekers deel. Het meest succesvolle team, DEVCORE, wist $ 142 te verdienen. De winnaars van de tweede plaats (Team Viettel) ontvingen $ 82 en de winnaar van de derde plaats (NCC-groep) ontving $ 78.
Tijdens de wedstrijd werden aanvallen gedemonstreerd die leidden tot uitvoering van code op afstand op apparaten:
- Canon imageCLASS MF743Cdw printer (11 succesvolle aanvallen, prijzen van $ 5000 en $ 10000).
- Lexmark MC3224i printer (8 aanvallen, bonussen van $ 7500, $ 10000 en $ 5000).
- HP Color LaserJet Pro M479fdw Printer (5 hits, prijzen van $ 5000, $ 10000 en $ 20000).
- Sonos One Speaker Smart Speaker (3 aanvallen, prijzen van $ 22500 en $ 60000).
- Synology DiskStation DS920+ Network Attached Storage (twee aanvallen, beloning van $ 40000 en $ 20000).
- WD My Cloud Pro PR4100 Netwerkopslag (3 x $ 20000 en 40000 x $ XNUMX).
- Synology RT6600ax-router (5 WAN-aanvallen met een beloning van $ 20000 en twee beloningen van $ 5000 en $ 1250 voor een LAN-aanval).
- Cisco Integrated Service Router C921-4P ($37500).
- Mikrotik RouterBoard RB2011UiAS-IN router ($100,000 beloning voor een hack in meerdere fasen - eerst werd de Mikrotik-router aangevallen, en daarna, na toegang te hebben verkregen tot het LAN, de Canon-printer).
- NETGEAR RAX30 AX2400 Router (7 aanvallen, $1250, $2500, $5000, $7500, $8500 en $10000 bonussen).
- TP-Link AX1800/Archer AX21 router (WAN-aanval, $ 20000 bonus, en LAN-aanval, $ 5000 bonus).
- Ubiquiti EdgeRouter X SFP-router ($50000).
- Samsung Galaxy S22-smartphone (4 aanvallen, drie prijzen van $ 25000 en één prijs van $ 50000).
Naast de eerdergenoemde succesvolle aanvallen mislukten 11 pogingen om kwetsbaarheden te misbruiken. De competitie omvatte ook een uitdaging om Apple te hacken. iPhone Er werden weliswaar aanbiedingen gedaan voor aanvallen op de Apple Echo Show 13 en de Google Pixel 6, maar er werden geen verzoeken ontvangen, ondanks de maximale beloning van $250,000 voor het ontwikkelen van een exploit waarmee code op kernelniveau voor deze apparaten kon worden uitgevoerd. Ook bleven aanbiedingen om de domoticasystemen Amazon Echo Show 15, Meta Portal Go en Google Nest Hub Max te hacken, evenals de slimme speakers Apple HomePod Mini, Amazon Echo Studio en Google Nest Audio, waarvoor een beloning van $60,000 gold, onopgeëist.
De exacte onderdelen van het probleem zijn nog niet bekendgemaakt. Conform de voorwaarden van de wedstrijd wordt gedetailleerde informatie over alle aangetoonde 0-day-kwetsbaarheden pas na 120 dagen gepubliceerd. Deze periode geeft fabrikanten de tijd om updates voor te bereiden om de kwetsbaarheden te verhelpen.
Bron: opennet.ru
