Pwn2Own Toronto 2023 போட்டியின் நான்கு நாட்களின் முடிவுகள் தொகுக்கப்பட்டுள்ளன, இதில் மொபைல் சாதனங்கள், பிரிண்டர்கள், ஸ்மார்ட் ஸ்பீக்கர்கள், சேமிப்பக அமைப்புகள் மற்றும் திசைவிகள் ஆகியவற்றில் முன்னர் அறியப்படாத 58 பாதிப்புகள் (0-நாள்) நிரூபிக்கப்பட்டன. தாக்குதல்கள் சமீபத்திய ஃபார்ம்வேர் மற்றும் ஆப்பரேட்டிங் சிஸ்டம்களை அனைத்து கிடைக்கக்கூடிய புதுப்பிப்புகள் மற்றும் இயல்புநிலை உள்ளமைவில் பயன்படுத்தியது.
செலுத்தப்பட்ட மொத்த ஊதியம் 1 மில்லியன் அமெரிக்க டாலர்களை ($1038500) தாண்டியது. மிகவும் வெற்றிகரமான அணி, டீம் வியட்டெல், போட்டியில் இருந்து 180 ஆயிரம் அமெரிக்க டாலர்களை சம்பாதிக்க முடிந்தது. இரண்டாவது இடம் வென்றவர்கள் (டீம் ஓர்கா) $116.250 ஆயிரம் மற்றும் மூன்றாம் இடம் வென்றவர்கள் (DEVCORE) $50 ஆயிரம் பெற்றனர்.
போட்டியின் போது, சாதனங்களில் ரிமோட் குறியீடு செயல்படுத்துவதற்கு வழிவகுத்த தாக்குதல்கள் நிரூபிக்கப்பட்டன:
- TP-Link Omada Gigabit Router (Lexmark CX100000adwe பிரிண்டருடன் ஹேக்கிங்கிற்கு $31250 மற்றும் $331; QNAP TS-50000 நெட்வொர்க் சேமிப்பகத்துடன் ஹேக்கிங்கிற்கு $464; Synology மூலம் ஹேக்கிங்கிற்கு $40750 மற்றும் $500 BC50000 கேமராவில் $31250 கேமிரா, SS பிரிண்டர் MF753Cdw).
- சினாலஜி RT6600ax திசைவி (QNAP TS-50000 நெட்வொர்க் சேமிப்பகத்துடன் ஹேக்கிங்கிற்கு $464).
- Samsung Galaxy S23 ஸ்மார்ட்ஃபோன் ($50000 மற்றும் வெளிப்புறத் தரவுகளின் போதுமான சரிபார்ப்பு இல்லாததால் ஏற்படும் பாதிப்புகளைப் பயன்படுத்தி ஹேக்கிங்கிற்கு $25000 மூன்று போனஸ்; ஏற்கனவே அறியப்பட்ட சுரண்டலைப் பயன்படுத்துவதற்கு $6250).
- Xiaomi 13 Pro ஸ்மார்ட்போன் ($40000 மற்றும் $20000).
- சினாலஜி BC500 CCTV கேமரா (Buffer overflow பாதிப்பு மூலம் ஹேக்கிங்கிற்கு $30000 விருது; மூன்று பாதிப்புகளை உள்ளடக்கிய ஒரு சுரண்டலுக்கு $15000; ஏற்கனவே அறியப்பட்ட சுரண்டலைப் பயன்படுத்தியதற்காக $3750 தலா ஐந்து விருதுகள்).
- Wyze Cam v3 செக்யூரிட்டி கேமரா (கமாண்ட் மாற்று சுரண்டலுக்கு $30000; ஒரு buffer overflow exploitக்கு $15000; இரண்டு பாதிப்புகள் சம்பந்தப்பட்ட ஒரு சுரண்டலுக்கு $15000; $15000 for buffer overflow exploit in a wireless driver in a bearless driver in kernel.
- நெட்வொர்க் சேமிப்பகம் WD My Cloud Pro PR4100 (இரண்டு பாதிப்புகளை உள்ளடக்கிய ஒரு சுரண்டலுக்கு $40000).
- பிணைய சேமிப்பு QNAP TS-464 (மூன்று பாதிப்புகளை உள்ளடக்கிய ஒரு சுரண்டலுக்கு $40000; இரண்டு பாதிப்புகளை உள்ளடக்கிய ஒரு சுரண்டலுக்கு $20000; பாதிப்புகளை உள்ளடக்கிய ஒரு சுரண்டலுக்கு $20000 பேஸ் டைரக்டரி டிராவர்சல் மற்றும் $12500 கட்டளையைப் பயன்படுத்தி ஏற்கனவே அறியப்பட்ட $5000.
- Canon imageCLASS MF753Cdw பிரிண்டர் (Buffer overflow பாதிப்புகள் மூலம் ஹேக்கிங் செய்வதற்கு $20000 மற்றும் மூன்று $10000 போனஸ்கள்; $2500 மற்றும் $2500 ஏற்கனவே அறியப்பட்ட சுரண்டலைப் பயன்படுத்துவதற்கு).
- Lexmark CX331adwe பிரிண்டர் (நினைவக ஊழல் சுரண்டலுக்கு $20000; பஃபர் ஓவர்ஃப்ளோ சுரண்டலுக்கு $10000).
- ஹெச்பி கலர் லேசர்ஜெட் ப்ரோ MFP 4301fdw பிரிண்டர் (Buffer overflow vulnerability மூலம் ஹேக் செய்ய $20000).
- Sonos Era 100 வயர்லெஸ் ஸ்பீக்கர் (இரண்டு பாதிப்புகளைப் பயன்படுத்தி ஒரு சுரண்டலுக்கு $60000, இது இடையகத்திலிருந்து நினைவகத்திலிருந்து படிக்கவும், விடுவிக்கப்பட்ட பிறகு நினைவகத்தை அணுகவும் வழிவகுக்கும்; $30000 மற்றும் $18750 இடையக வழிதல் காரணமாக ஏற்படும் பாதிப்பை ஹேக்கிங் செய்வதற்கு $XNUMX).
மேற்கூறிய வெற்றிகரமான தாக்குதல்களுக்கு மேலதிகமாக, பாதிப்புகளைப் பயன்படுத்துவதற்கான 7 முயற்சிகள் தோல்வியில் முடிந்தன (கேனான் இமேஜ் கிளாஸ் MF753Cdw பிரிண்டரை ஹேக் செய்ய மூன்று முயற்சிகள், இரண்டு முயற்சிகள் - Lexmark CX331adwe மற்றும் இரண்டு முயற்சிகள் - Xiamoi 13 Pro).
சிக்கலின் குறிப்பிட்ட கூறுகள் இன்னும் தெரிவிக்கப்படவில்லை. போட்டியின் விதிமுறைகளுக்கு இணங்க, அனைத்து நிரூபிக்கப்பட்ட 0-நாள் பாதிப்புகள் பற்றிய விரிவான தகவல்கள் 90 நாட்களுக்குப் பிறகு வெளியிடப்படும், அவை பாதிப்புகளை நீக்கும் புதுப்பிப்புகளைத் தயாரிப்பதற்காக உற்பத்தியாளர்களுக்கு வழங்கப்படுகின்றன.
ஆதாரம்: opennet.ru