Mobil cihazlar, yazıcılar, akıllı hoparlörler, depolama sistemleri ve yönlendiricilerdeki önceden bilinmeyen 2 (2022 günlük) güvenlik açığının gösterildiği Pwn63Own Toronto 0 yarışmasının dört gün süren sonuçları özetlendi. Saldırılarda, mevcut tüm güncellemelerle birlikte ve varsayılan yapılandırmada en son donanım yazılımı ve işletim sistemleri kullanıldı. Ödenen ücretlerin toplam tutarı 934,750 ABD dolarıdır.
Yarışmaya 36 takım ve güvenlik araştırmacısı katıldı. En başarılı DEVCORE takımı yarışmadan 142 bin dolar kazanmayı başardı. İkinci olanlara (Team Viettel) 82 bin dolar, üçüncü olanlara (NCC grubu) ise 78 bin dolar verildi.
Yarışma sırasında, cihazlarda uzaktan kod yürütülmesine yol açan saldırılar gösterildi:
- Canon imageCLASS MF743Cdw yazıcı (11 başarılı saldırı, 5000 ABD Doları ve 10000 ABD Doları ödül).
- Lexmark MC3224i yazıcı (8 saldırı, 7500$, 10000$ ve 5000$ bonuslar).
- HP Color LaserJet Pro M479fdw yazıcı (5 saldırı, 5000 ABD Doları, 10000 ABD Doları ve 20000 ABD Doları ödül).
- Akıllı hoparlör Sonos One Speaker (3 saldırı, primler 22500$ ve 60000$).
- Synology DiskStation DS920+ ağ depolama (iki saldırı, 40000 ABD Doları ve 20000 ABD Doları prim).
- WD My Cloud Pro PR4100 Ağ Depolama (3 ABD Doları tutarında 20000 ödül ve 40000 ABD Doları tutarında bir ödül).
- Synology RT6600ax yönlendirici (WAN üzerinden 5 $ bonusla 20000 saldırı ve LAN yoluyla saldırılar için 5000 $ ve 1250 $ tutarında iki bonus).
- Cisco Entegre Hizmet Yönlendiricisi C921-4P (37500 ABD Doları).
- Mikrotik RouterBoard RB2011UiAS-IN yönlendirici (Çok aşamalı bilgisayar korsanlığı için 100,000 $ ödül - önce Mikrotik yönlendirici saldırıya uğradı, ardından LAN'a erişim sağladıktan sonra bir Canon yazıcı saldırıya uğradı).
- NETGEAR RAX30 AX2400 Yönlendirici (7 saldırı, 1250$, 2500$, 5000$, 7500$, 8500$ ve 10000$ prim).
- TP-Link AX1800/Archer AX21 yönlendirici (WAN saldırısı, 20000 $ premium ve LAN saldırısı, 5000 $ premium).
- Ubiquiti EdgeRouter X SFP Yönlendirici (50000 ABD Doları).
- Samsung Galaxy S22 akıllı telefon (4 saldırı, üç adet 25000 ABD Doları ödül ve bir adet 50000 ABD Doları ödül).
Yukarıda belirtilen başarılı saldırılara ek olarak, güvenlik açıklarından yararlanmaya yönelik 11 girişim de başarısızlıkla sonuçlandı. Yarışmada ayrıca Apple iPhone 13 ve Google Pixel 6'nın hacklenmesi de önerildi, ancak saldırı gerçekleştirmek için herhangi bir başvuru alınmadı, ancak bu cihazlar için çekirdek düzeyinde kod yürütülmesine izin veren bir istismar hazırlamanın maksimum ödülü 250,000 dolardı. . Ev otomasyon sistemleri Amazon Echo Show 15, Meta Portal Go ve Google Nest Hub Max'in yanı sıra hackleme ödülü 60,000 dolar olan akıllı hoparlörler Apple HomePod Mini, Amazon Echo Studio ve Google Nest Audio'nun hacklenmesine yönelik teklifler de talep edilmedi.
Sorunun hangi spesifik bileşenleri henüz raporlanmadı; yarışma şartlarına uygun olarak, gösterilen tüm 0 günlük güvenlik açıklarına ilişkin ayrıntılı bilgiler, üreticilere güvenlik açıklarını ortadan kaldıran güncellemeler hazırlamaları için yalnızca 120 gün sonra yayınlanacak.
Kaynak: opennet.ru