ProHoster > Blog > warta internét > Eksploitasi pikeun 2 kerentanan anyar nunjukkeun dina kompetisi Pwn63Own di Toronto

Eksploitasi pikeun 2 kerentanan anyar nunjukkeun dina kompetisi Pwn63Own di Toronto

Hasil opat dinten kompetisi Pwn2Own Toronto 2022 parantos disimpulkeun, dimana 63 kerentanan anu teu dipikanyaho (0 dinten) dina alat sélulér, panyitak, spiker pinter, sistem panyimpen sareng router nunjukkeun. Serangan ngagunakeun firmware sareng sistem operasi panganyarna sareng sadaya apdet anu sayogi sareng dina konfigurasi standar. Jumlah total biaya anu dibayar nyaéta US $ 934,750.

36 tim sareng peneliti kaamanan milu dina kompetisi. Tim DEVCORE anu paling suksés junun kéngingkeun 142 rébu dolar AS tina kompetisi. Juara kadua (Tim Viettel) nampi $ 82 rébu, sareng juara katilu (kelompok NCC) nampi $ 78 rébu.

Eksploitasi pikeun 2 kerentanan anyar nunjukkeun dina kompetisi Pwn63Own di Toronto

Salila kompetisi, serangan anu nunjukkeun yén ngarah ka palaksanaan kode jauh dina alat:

  • Printer Canon imageCLASS MF743Cdw (11 serangan suksés, $ 5000 sareng $ 10000 panghargaan).
  • printer Lexmark MC3224i (8 serangan, bonus $ 7500, $ 10000 jeung $ 5000).
  • HP Color LaserJet Pro M479fdw printer (5 serangan, $ 5000, $ 10000 jeung $ 20000 panghargaan).
  • Spiker pinter Sonos Hiji Speaker (3 serangan, premiums $ 22500 jeung $ 60000).
  • Panyimpen jaringan Synology DiskStation DS920+ (dua serangan, $ 40000 sareng $ 20000 premium).
  • WD My Cloud Pro PR4100 Network Storage (3 panghargaan $ 20000 sareng hiji panghargaan $ 40000).
    Eksploitasi pikeun 2 kerentanan anyar nunjukkeun dina kompetisi Pwn63Own di Toronto
  • Synology RT6600ax router (5 serangan via Wan kalawan $ 20000 bonus na dua bonus $ 5000 jeung $ 1250 pikeun serangan via LAN).
  • Cisco Integrated Service router C921-4P ($ 37500).
  • Mikrotik RouterBoard RB2011UiAS-IN router ($ 100,000 panghargaan pikeun multi-tahap Hacking - mimitina router Mikrotik diserang, lajeng, sanggeus meunang aksés ka LAN, printer Canon).
  • NETGEAR RAX30 AX2400 Router (7 serangan, $ 1250, $ 2500, $ 5000, $ 7500, $ 8500 jeung $ 10000 premiums).
  • TP-Link AX1800 / Archer AX21 router (serangan Wan, $ 20000 premium, sarta serangan LAN, $ 5000 premium).
  • Ubiquiti EdgeRouter X SFP Router ($50000).
  • Samsung Galaxy S22 smartphone (4 serangan, tilu $ 25000 panghargaan jeung hiji $ 50000 pangajén).

Salian serangan anu suksés di luhur, 11 usaha pikeun ngamangpaatkeun kerentanan parantos gagal. Dina kompetisi, éta ogé diusulkeun pikeun hack Apple iPhone 13 sareng Google Pixel 6, tapi teu aya aplikasi anu nampi pikeun ngalaksanakeun serangan, sanaos ganjaran maksimal pikeun nyiapkeun eksploitasi anu ngamungkinkeun ngalaksanakeun kode dina tingkat kernel pikeun alat ieu $ 250,000. . Usul pikeun hacking sistem automasi bumi Amazon Echo Show 15, Meta Portal Go sareng Google Nest Hub Max, ogé panyatur pinter Apple HomePod Mini, Amazon Echo Studio sareng Google Nest Audio, hadiah pikeun hacking anu $ 60,000, ogé tetep teu diklaim.

Komponén khusus masalah anu mana anu henteu acan dilaporkeun; saluyu sareng syarat kompetisi, inpormasi lengkep ngeunaan sadaya kerentanan 0 dinten anu nunjukkeun bakal dipedar ngan ukur saatos 120 dinten, anu dipasihkeun ka produsén pikeun nyiapkeun apdet anu ngaleungitkeun kerentanan.

sumber: opennet.ru

Tambahkeun komentar