Matokeo ya siku nne ya shindano la Pwn2Own Toronto 2022 yamefupishwa, ambapo udhaifu 63 ambao haukujulikana hapo awali (siku 0) katika vifaa vya rununu, vichapishaji, spika mahiri, mifumo ya kuhifadhi na vipanga njia vilionyeshwa. Mashambulizi yalitumia programu dhibiti ya hivi punde na mifumo ya uendeshaji iliyo na masasisho yote yanayopatikana na katika usanidi chaguo-msingi. Jumla ya ada zilizolipwa zilikuwa Dola za Marekani 934,750.
Timu 36 na watafiti wa usalama walishiriki katika shindano hilo. Timu iliyofanikiwa zaidi ya DEVCORE ilifanikiwa kupata dola elfu 142 za Amerika kutoka kwa shindano hilo. Washindi wa pili (Team Viettel) walipata dola elfu 82, na washindi wa tatu (kundi la NCC) walipata dola elfu 78.
Wakati wa shindano, mashambulio yalionyeshwa ambayo yalisababisha utekelezaji wa nambari ya mbali kwenye vifaa:
- Printa ya Canon MF743Cdw (mashambulizi 11 yaliyofaulu, $5000 na tuzo za $10000).
- Printa ya Lexmark MC3224i (mashambulizi 8, bonasi za $7500, $10000 na $5000).
- Printa ya HP Color LaserJet Pro M479fdw (mashambulizi 5, $5000, $10000 na tuzo za $20000).
- Spika mahiri Sonos One Spika (mashambulizi 3, malipo ya $22500 na $60000).
- Uhifadhi wa mtandao wa Synology DiskStation DS920+ (mashambulizi mawili, malipo ya $40000 na $20000).
- WD Cloud My Pro PR4100 Hifadhi ya Mtandao (tuzo 3 za $20000 na tuzo moja ya $40000).
- Kipanga njia cha Synology RT6600ax (mashambulizi 5 kupitia WAN yenye bonasi za $20000 na bonasi mbili za $5000 na $1250 kwa mashambulizi kupitia LAN).
- Cisco Integrated Service Router C921-4P ($37500).
- Mikrotik RouterBoard RB2011UiAS-IN kipanga njia (tuzo ya $100,000 kwa utapeli wa hatua nyingi - kwanza kipanga njia cha Mikrotik kilishambuliwa, na kisha, baada ya kupata ufikiaji wa LAN, kichapishi cha Canon).
- NETGEAR RAX30 AX2400 Router (mashambulizi 7, $1250, $2500, $5000, $7500, $8500 na malipo ya $10000).
- Kipanga njia cha TP-Link AX1800/Archer AX21 (shambulio la WAN, malipo ya $20000, na shambulio la LAN, malipo ya $5000).
- Ubiquiti EdgeRouter X SFP Router ($50000).
- Simu mahiri ya Samsung Galaxy S22 (mashambulizi 4, tuzo tatu za $25000 na tuzo moja ya $50000).
Mbali na mashambulizi yaliyofaulu yaliyotajwa hapo juu, majaribio 11 ya kutumia udhaifu yaliishia bila mafanikio. Katika shindano hilo, ilipendekezwa pia kudukuliwa Apple iPhone 13 na Google Pixel 6, lakini hakuna maombi yaliyopokelewa kwa kufanya mashambulizi, ingawa malipo ya juu zaidi ya kuandaa unyonyaji unaoruhusu kutekeleza nambari kwenye kiwango cha kernel ya vifaa hivi ilikuwa $250,000. . Mapendekezo ya kudukua mifumo ya otomatiki ya nyumbani Amazon Echo Show 15, Meta Portal Go na Google Nest Hub Max, pamoja na spika mahiri Apple HomePod Mini, Amazon Echo Studio na Google Nest Audio, zawadi ya udukuzi ambayo ilikuwa $60,000, pia haikudaiwa.
Ambayo vipengele maalum vya tatizo bado havijaripotiwa; kwa mujibu wa masharti ya shindano, maelezo ya kina kuhusu udhaifu wote ulioonyeshwa wa siku 0 yatachapishwa tu baada ya siku 120, ambayo hupewa watengenezaji kuandaa sasisho zinazoondoa udhaifu.
Chanzo: opennet.ru