De resultaten van vier dagen van de Pwn2Own Toronto 2022 competitie zijn samengevat, waarbij 63 voorheen onbekende kwetsbaarheden (0-day) in mobiele apparaten, printers, slimme speakers, opslagsystemen en routers werden gedemonstreerd. Bij de aanvallen werd gebruik gemaakt van de nieuwste firmware en besturingssystemen met alle beschikbare updates en in de standaardconfiguratie. Het totale bedrag aan betaalde vergoedingen bedroeg 934,750 dollar.
Aan de wedstrijd namen 36 teams en beveiligingsonderzoekers deel. Het meest succesvolle DEVCORE-team wist 142 duizend dollar aan de concurrentie te verdienen. De winnaars van de tweede plaats (Team Viettel) ontvingen $82, en de winnaars van de derde plaats (NCC-groep) ontvingen $78.
Tijdens de wedstrijd werden aanvallen gedemonstreerd die leidden tot het op afstand uitvoeren van code op apparaten:
- Canon imageCLASS MF743Cdw-printer (11 succesvolle aanvallen, beloningen van $ 5000 en $ 10000).
- Lexmark MC3224i printer (8 aanvallen, bonussen van $7500, $10000 en $5000).
- HP Color LaserJet Pro M479fdw printer (5 aanvallen, $5000, $10000 en $20000 beloningen).
- Slimme luidspreker Sonos One Speaker (3 aanvallen, premies $ 22500 en $ 60000).
- Synology DiskStation DS920+ netwerkopslag (twee aanvallen, $40000 en $20000 premies).
- WD My Cloud Pro PR4100 netwerkopslag (3 prijzen van $ 20000 en één prijs van $ 40000).
- Synology RT6600ax-router (5 aanvallen via WAN met $20000 bonussen en twee bonussen van $5000 en $1250 voor aanvallen via LAN).
- Cisco Integrated Service Router C921-4P ($37500).
- Mikrotik RouterBoard RB2011UiAS-IN-router ($100,000 beloning voor meerfasige hacking - eerst werd de Mikrotik-router aangevallen en daarna, nadat toegang tot het LAN was verkregen, een Canon-printer).
- NETGEAR RAX30 AX2400 Router (7 aanvallen, $1250, $2500, $5000, $7500, $8500 en $10000 premies).
- TP-Link AX1800/Archer AX21-router (WAN-aanval, $ 20000 premium, en LAN-aanval, $ 5000 premium).
- Ubiquiti EdgeRouter X SFP-router ($ 50000).
- Samsung Galaxy S22-smartphone (vier aanvallen, drie beloningen van $ 4 en één beloning van $ 25000).
Naast de hierboven genoemde succesvolle aanvallen zijn elf pogingen om kwetsbaarheden te misbruiken mislukt. Bij de wedstrijd werd ook voorgesteld om de Apple iPhone 11 en Google Pixel 13 te hacken, maar er werden geen aanvragen ontvangen voor het uitvoeren van aanvallen, hoewel de maximale beloning voor het voorbereiden van een exploit die het uitvoeren van code op kernelniveau voor deze apparaten mogelijk maakt $ 6 bedroeg. . Voorstellen voor het hacken van domoticasystemen Amazon Echo Show 250,000, Meta Portal Go en Google Nest Hub Max, evenals slimme luidsprekers Apple HomePod Mini, Amazon Echo Studio en Google Nest Audio, waarvan de prijs voor het hacken $ 15 bedroeg, bleven ook niet opgeëist.
Welke specifieke onderdelen van het probleem zijn nog niet gerapporteerd; conform de voorwaarden van de wedstrijd wordt pas na 0 dagen gedetailleerde informatie over alle aangetoonde 120-day-kwetsbaarheden gepubliceerd, die aan de fabrikanten worden gegeven om updates voor te bereiden die kwetsbaarheden elimineren.
Bron: opennet.ru