Підбито підсумки чотирьох днів змагань Pwn2Own Toronto 2022, на яких було продемонстровано 63 раніше невідомі вразливості (0-day) у мобільних пристроях, принтерах, розумних колонках, системах зберігання та маршрутизаторах. При проведенні атак використовувалися найсвіжіші прошивки та операційні системи з усіма доступними оновленнями та у конфігурації за умовчанням. Сумарний розмір виплачених винагород становив 934,750 доларів США.
У змаганні взяли участь 36 команд та дослідників безпеки. Найбільш успішна команда DEVCORE зуміла заробити на змаганнях 142 тисяч доларів США. Власники другого місця (Team Viettel) отримали 82 тисяч доларів, а третього (NCC group) - 78 тисяч доларів.
У ході змагань продемонстровано атаки, що призвели до віддаленого виконання коду на пристроях:
- Принтер Canon imageCLASS MF743Cdw (11 успішних атак, премії $5000 і $10000).
- Принтер Lexmark MC3224i (8 атак, премії $7500, $10000 і $5000).
- Принтер HP Color LaserJet Pro M479fdw (5 атак, премії $5000, $10000 та $20000).
- Розумна колонка Sonos One Speaker (3 атаки, премії $22500 та $60000).
- Мережеве сховище Synology DiskStation DS920+ (дві атаки, премії $40000 та $20000).
- Мережеве сховище WD My Cloud Pro PR4100 (3 премії $20000 та одна премія $40000).
- Маршрутизатор Synology RT6600ax (5 атак через WAN з преміями $20000 та дві премії $5000 та $1250 за атаку через LAN).
- Маршрутизатор Cisco Integrated Service Router C921-4P ($37500 XNUMX).
- Маршрутизатор Mikrotik RouterBoard RB2011UiAS-IN (премія $100,000 за багатоетапний злом – спочатку був атакований маршрутизатор Mikrotik, а потім після отримання доступу до LAN – принтер Canon).
- Маршрутизатор NETGEAR RAX30 AX2400 (7 атак, премії $1250, $2500, $5000, $7500, $8500 та $10000).
- Маршрутизатор TP-Link AX1800/Archer AX21 (атака через WAN, премія $20000 та атака через LAN, премія $5000).
- Маршрутизатор Ubiquiti EdgeRouter X SFP ($50000).
- Cмартфон Samsung Galaxy S22 (4 атаки, три премії $25000 та одна премія $50000).
Окрім вищезазначених успішних атак, 11 спроб експлуатації вразливостей завершилися невдачею. На змаганнях також було запропоновано зламати Apple iPhone 13 та Google Pixel 6, але заявок на проведення атак не надійшло, хоча максимальний розмір винагороди за підготовку експлоїту, що дозволяє виконати код на рівні ядра, для цих пристроїв становив $250,000. Незатребуваними також залишилися пропозиції щодо зламування систем домашньої автоматизації Amazon Echo Show 15, Meta Portal Go та Google Nest Hub Max, а також розумних колонок Apple HomePod Mini, Amazon Echo Studio та Google Nest Audio, розмір премії за злом яких становив $60,000.
У яких саме компонентах проблеми поки не повідомляється, відповідно до умов конкурсу детальну інформацію про всі продемонстровані 0-day уразливості буде опубліковано лише через 120 днів, які даються на підготовку виробниками оновлень з усуненням уразливостей.
Джерело: opennet.ru