Janë përmbledhur rezultatet e katër ditëve të konkursit Pwn2Own Toronto 2022, në të cilin u demonstruan 63 dobësi të panjohura më parë (0-ditore) në pajisjet celulare, printera, altoparlantë inteligjentë, sistemet e ruajtjes dhe ruterat. Sulmet përdorën firmware dhe sistemet operative më të fundit me të gjitha përditësimet e disponueshme dhe në konfigurimin e paracaktuar. Shuma totale e tarifave të paguara ishte 934,750 USD.
Në konkurs morën pjesë 36 ekipe dhe studiues të sigurisë. Ekipi më i suksesshëm i DEVCORE arriti të fitojë 142 mijë dollarë amerikanë nga konkursi. Fituesit e vendit të dytë (Ekipi Viettel) morën 82 mijë dollarë, dhe fituesit e vendit të tretë (grupi NCC) morën 78 mijë dollarë.
Gjatë konkursit, u demonstruan sulme që çuan në ekzekutimin e kodit në distancë në pajisje:
- Printer Canon imageCLASS MF743Cdw (11 sulme të suksesshme, çmime 5000$ dhe 10000$).
- Printer Lexmark MC3224i (8 sulme, shpërblime prej 7500 dollarë, 10000 dollarë dhe 5000 dollarë).
- Printeri HP Color LaserJet Pro M479fdw (5 sulme, çmime 5000 dollarë, 10000 dollarë dhe 20000 dollarë).
- Altoparlant inteligjent Sonos One Speaker (3 sulme, çmime prej 22500 dollarë dhe 60000 dollarë).
- Ruajtja e rrjetit Synology DiskStation DS920+ (dy sulme, 40000 dollarë dhe 20000 dollarë premium).
- WD My Cloud Pro PR4100 Network Storage (3 çmime prej 20000 dollarë dhe një çmim prej 40000 dollarë).
- Ruteri Synology RT6600ax (5 sulme nëpërmjet WAN me bonuse 20000 dollarë dhe dy bonuse prej 5000 dollarë dhe 1250 dollarë për sulme nëpërmjet LAN).
- Router i integruar i shërbimit Cisco C921-4P (37500 dollarë).
- Ruteri Mikrotik RouterBoard RB2011UiAS-IN (çmim 100,000 dollarë për hakimin me shumë faza - fillimisht ruteri Mikrotik u sulmua dhe më pas, pasi fitoi akses në LAN, një printer Canon).
- Ruteri NETGEAR RAX30 AX2400 (7 sulme, 1250$, 2500$, 5000$, 7500$, 8500$ dhe 10000$ prime).
- Ruteri TP-Link AX1800/Archer AX21 (sulmi WAN, premium 20000 dollarë dhe sulmi LAN, premium 5000 dollarë).
- Ruteri Ubiquiti EdgeRouter X SFP (50000 dollarë).
- Smartphone Samsung Galaxy S22 (4 sulme, tre çmime 25000 dollarë dhe një çmim prej 50000 dollarë).
Përveç sulmeve të suksesshme të përmendura më lart, 11 përpjekje për të shfrytëzuar dobësitë përfunduan me dështim. Në konkurs, u propozua gjithashtu të hakohej Apple iPhone 13 dhe Google Pixel 6, por nuk u morën asnjë aplikacion për kryerjen e sulmeve, megjithëse shpërblimi maksimal për përgatitjen e një shfrytëzimi që lejon ekzekutimin e kodit në nivelin e kernelit për këto pajisje ishte 250,000 dollarë. . Propozimet për hakerimin e sistemeve të automatizimit të shtëpisë Amazon Echo Show 15, Meta Portal Go dhe Google Nest Hub Max, si dhe altoparlantët inteligjentë Apple HomePod Mini, Amazon Echo Studio dhe Google Nest Audio, çmimi për hakimin e të cilave ishte 60,000 dollarë, gjithashtu mbetën të pa kërkuara.
Cilët komponentë specifikë të problemit nuk janë raportuar ende; në përputhje me kushtet e konkursit, informacioni i detajuar për të gjitha dobësitë e demonstruara 0-ditore do të publikohet vetëm pas 120 ditësh, të cilat u jepen prodhuesve për të përgatitur përditësime që eliminojnë dobësitë.
Burimi: opennet.ru