Más de 1 millón de dólares otorgados a hackers en Pwn2Own Toronto

Pwn2Own, el concurso anual de hacking informático que concluyó en Toronto, Canadá, el 27 de octubre de 2023, vio a investigadores de seguridad ganar $1,038,500 por 58 exploits únicos de día cero (y múltiples colisiones de errores).

El evento de hacking de cuatro días se llevó a cabo entre el 24 de octubre de 2023 y el 27 de octubre de 2023, con un premio en efectivo de más de $1,000,000 USD y otras formas de premios disponibles para los concursantes.

El evento de hacking tuvo múltiples categorías para que los investigadores de seguridad apuntaran en la competencia, que incluyeron impresoras, sistemas de vigilancia, dispositivos de almacenamiento conectado a la red (NAS), teléfonos móviles, hubs de automatización del hogar, altavoces inteligentes y los dispositivos Pixel Watch y Chromecast de Google.

El concurso de hacking vio al Samsung Galaxy S23 ser hackeado con éxito cuatro veces por los equipos de Pentest Ltd, STAR Labs SG, Interrupt Labs y ToChim. Mientras que Pentest Ltd e Interrupt Labs pudieron ejecutar una Validación de Entrada Incorrecta contra el Samsung Galaxy S23, STAR Labs SG y ToChim pudieron explotar una lista permisiva de entradas permitidas contra el smartphone.

Además, la explotación del Samsung Galaxy S23 le valió a los equipos de Pentest Ltd e Interrupt Labs una recompensa de $50,000 y $25,000, respectivamente, y 5 puntos de Master of Pwn, mientras que los equipos de STAR Labs SG y ToChim obtuvieron $25,000 y 5 puntos de Master of Pwn cada uno por sus exploits.

Otros aspectos destacados:

• Chris Anastasio pudo explotar un error en el enrutador TP-Link Omada Gigabit y otro en el Lexmark CX331adwe por $100,000

• El equipo Orca de Sea Security ejecutó una cadena de 2 errores utilizando una lectura OOB y UAF contra el Sonos Era 100 por $60,000

• Un pasante de DEVCORE ejecutó un ataque de desbordamiento de pila contra el enrutador TP-Link Omada Gigabit y explotó dos errores en el QNAP TS-464 por $50,000

• El equipo Viettel pudo ejecutar un desbordamiento de búfer basado en heap y un desbordamiento de búfer basado en pila contra el enrutador TP-Link Omada Gigabit y la Canon imageCLASS MF753Cdw para el SOHO Smashup por $50,000

• Xiaomi, Western Digital, Synology, Canon, Lexmark, Sonos, TP-Link, QNAP, Wyze, Lexmark y HP fueron todos explotados durante la competencia

El ganador general de Master of Pwn fue el equipo Viettel, con 30 puntos de Master of Pwn, ganando $180,000. Fueron seguidos en la tabla de clasificación por el equipo Orca de Sea Security con $116,250 (17.25 puntos) y DEVCORE Intern e Interrupt Labs (cada uno con $50,000 y 10 puntos).

Chris Anastasio y Pentest Ltd. ocuparon el cuarto y quinto lugar en la tabla de clasificación, respectivamente, con nueve puntos cada uno y ganaron $100,000 y $90,000.

El cronograma completo del evento de hacking Pwn2Own Toronto 2023 se puede encontrar aquí. Los resultados diarios de cada desafío también se pueden encontrar aquí (1, 2, 3, 4).

¿Qué es Pwn2Own?

Pwn2Own es una competencia de hacking organizada cada año por la Iniciativa de Día Cero (ZDI) de Trend Micro, donde hackers éticos, expertos en ciberseguridad y varios otros concursantes participan.

En el concurso de hacking Pwn2Own, los investigadores de seguridad explotan los dispositivos móviles y dispositivos IoT más recientes y populares, demuestran sus habilidades y divulgan vulnerabilidades importantes de día cero a las empresas tecnológicas. Los ganadores del concurso reciben el dispositivo que explotaron y un premio en efectivo.

Después del evento, los proveedores tienen 90 días para producir parches para estos errores. Una vez que finaliza el plazo, ZDI divulga públicamente las fallas, independientemente del estado del parche.