โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > การใช้ประโยชน์จากช่องโหว่ใหม่ 2 รายการแสดงให้เห็นในการแข่งขัน Pwn63Own ในโตรอนโต

การใช้ประโยชน์จากช่องโหว่ใหม่ 2 รายการแสดงให้เห็นในการแข่งขัน Pwn63Own ในโตรอนโต

ผลลัพธ์ของการแข่งขัน Pwn2Own Toronto 2022 ทั้งสี่วันได้รับการสรุปแล้ว โดยระหว่างนั้นมีการสาธิตช่องโหว่ที่ไม่รู้จักก่อนหน้านี้ 63 รายการ (0 วัน) ในอุปกรณ์พกพา เครื่องพิมพ์ ลำโพงอัจฉริยะ ระบบจัดเก็บข้อมูล และเราเตอร์ การโจมตีใช้เฟิร์มแวร์และระบบปฏิบัติการล่าสุดพร้อมการอัปเดตที่มีอยู่ทั้งหมดและในการกำหนดค่าเริ่มต้น ค่าตอบแทนรวมทั้งสิ้น 934,750 ดอลลาร์สหรัฐฯ

36 ทีมและนักวิจัยด้านความปลอดภัยเข้าร่วมการแข่งขัน ทีม DEVCORE ที่ประสบความสำเร็จสูงสุดสามารถสร้างรายได้ 142 ดอลลาร์สหรัฐจากการแข่งขัน ผู้ชนะอันดับสอง (ทีม Viettel) ได้รับเงิน 82 ดอลลาร์ และผู้ชนะอันดับสาม (NCC group) ได้รับเงิน 78 ดอลลาร์

การใช้ประโยชน์จากช่องโหว่ใหม่ 2 รายการแสดงให้เห็นในการแข่งขัน Pwn63Own ในโตรอนโต

ในระหว่างการแข่งขัน มีการสาธิตการโจมตีที่นำไปสู่การเรียกใช้โค้ดจากระยะไกลบนอุปกรณ์:

  • เครื่องพิมพ์ Canon imageCLASS MF743Cdw (โจมตีสำเร็จ 11 ครั้ง โบนัส 5000 ดอลลาร์ และ 10000 ดอลลาร์)
  • เครื่องพิมพ์ Lexmark MC3224i (การโจมตี 8 ครั้ง, เบี้ยประกันภัย 7500 ดอลลาร์, 10000 ดอลลาร์ และ 5000 ดอลลาร์)
  • เครื่องพิมพ์ HP Color LaserJet Pro M479fdw (การโจมตี 5 ครั้ง โบนัส 5000 ดอลลาร์ 10000 ดอลลาร์ และ 20000 ดอลลาร์)
  • ลำโพงอัจฉริยะ Sonos One Speaker (การโจมตี 3 ครั้ง โบนัส $22500 และ $60000)
  • Synology DiskStation DS920+ NAS (การโจมตีสองครั้ง พรีเมี่ยม $40000 และ $20000)
  • WD My Cloud Pro PR4100 NAS (3 รางวัล $20000 และ 40000 รางวัล $XNUMX)
    การใช้ประโยชน์จากช่องโหว่ใหม่ 2 รายการแสดงให้เห็นในการแข่งขัน Pwn63Own ในโตรอนโต
  • เราเตอร์ Synology RT6600ax (การโจมตี 5 WAN ด้วยค่าพรีเมียม $20000 และค่าพรีเมียม $5000 และ $1250 สองค่าสำหรับการโจมตี LAN)
  • Cisco Integrated Service Router C921-4P ($37500)
  • เราเตอร์ Mikrotik RouterBoard RB2011UiAS-IN (พรีเมียม $100,000 สำหรับการแฮ็กแบบหลายขั้นตอน - เราเตอร์ Mikrotik ถูกโจมตีก่อน จากนั้นจึงเข้าถึง LAN เครื่องพิมพ์ Canon)
  • เราเตอร์ NETGEAR RAX30 AX2400 (การโจมตี 7 ครั้ง, $1250, $2500, $5000, $7500, $8500 และ $10000 โบนัส)
  • เราเตอร์ TP-Link AX1800/Archer AX21 (การโจมตี WAN, พรีเมี่ยม $20000 และการโจมตี LAN, พรีเมี่ยม $5000)
  • เราเตอร์ Ubiquiti EdgeRouter X SFP ($50000)
  • สมาร์ทโฟน Samsung Galaxy S22 (การโจมตี 4 ครั้ง สามรางวัล $25000 และหนึ่งรางวัล $50000)

นอกเหนือจากการโจมตีที่ประสบความสำเร็จข้างต้นแล้ว ความพยายาม 11 ครั้งในการใช้ประโยชน์จากช่องโหว่ล้มเหลว การแข่งขันยังเสนอให้แฮ็ก Apple iPhone 13 และ Google Pixel 6 แต่ไม่ได้รับแอปพลิเคชันสำหรับการโจมตี แม้ว่ารางวัลสูงสุดสำหรับการเตรียมการหาประโยชน์ที่อนุญาตให้ดำเนินการโค้ดที่ระดับเคอร์เนลสำหรับอุปกรณ์เหล่านี้คือ 250,000 ดอลลาร์ นอกจากนี้ยังมีข้อเสนอให้แฮก Amazon Echo Show 15, Meta Portal Go และ Google Nest Hub Max ระบบอัตโนมัติในบ้าน รวมถึง Apple HomePod Mini, Amazon Echo Studio และลำโพงอัจฉริยะ Google Nest Audio ซึ่งรางวัลการแฮ็กคือ 60,000 ดอลลาร์

ส่วนประกอบใดของปัญหาที่ยังไม่ได้รายงานตามเงื่อนไขของการแข่งขัน ข้อมูลโดยละเอียดเกี่ยวกับช่องโหว่ 0 วันที่แสดงให้เห็นทั้งหมดจะได้รับการเผยแพร่หลังจากผ่านไป 120 วันเท่านั้น ซึ่งมอบให้สำหรับการเตรียมการอัพเดทโดยผู้ผลิตเพื่อกำจัดช่องโหว่

ที่มา: opennet.ru

เพิ่มความคิดเห็น