Plus d'un million de dollars attribués aux hackers lors de Pwn2Own Toronto

Pwn2Own, le concours annuel de hacking informatique qui s’est terminé à Toronto, Canada, le 27 octobre 2023, a vu des chercheurs en sécurité gagner 1 038 500 $ pour 58 exploits zero-day uniques (et plusieurs collisions de bugs).

L’événement de hacking de quatre jours s’est tenu entre le 24 octobre 2023 et le 27 octobre 2023, avec des prix à gagner de plus de 1 000 000 USD et d’autres formes de prix disponibles pour les concurrents.

L’événement de hacking avait plusieurs catégories pour que les chercheurs en sécurité ciblent dans la compétition, qui comprenaient des imprimantes, des systèmes de surveillance, des dispositifs de stockage en réseau (NAS), des téléphones mobiles, des hubs d’automatisation domestique, des haut-parleurs intelligents, ainsi que les dispositifs Pixel Watch et Chromecast de Google.

Le concours de hacking a vu le Samsung Galaxy S23 être piraté avec succès quatre fois par les équipes de Pentest Ltd, STAR Labs SG, Interrupt Labs et ToChim. Alors que Pentest Ltd et Interrupt Labs ont pu exécuter une validation d’entrée incorrecte contre le Samsung Galaxy S23, STAR Labs SG et ToChim ont pu exploiter une liste permissive d’entrées autorisées contre le smartphone.

De plus, l’exploitation du Samsung Galaxy S23 a valu aux équipes de Pentest Ltd et Interrupt Labs une récompense de 50 000 $ et 25 000 $, respectivement, et 5 points Master of Pwn, tandis que les équipes de STAR Labs SG et ToChim ont obtenu 25 000 $ et 5 points Master of Pwn chacune pour leurs exploits.

Autres faits marquants :

• Chris Anastasio a pu exploiter un bug dans le routeur TP-Link Omada Gigabit et un autre dans le Lexmark CX331adwe pour 100 000 $

• L’équipe Orca de Sea Security a exécuté une chaîne de 2 bugs en utilisant une lecture OOB et un UAF contre le Sonos Era 100 pour 60 000 $

• Un stagiaire de DEVCORE a exécuté une attaque par débordement de pile contre le routeur TP-Link Omada Gigabit et a exploité deux bugs dans le QNAP TS-464 pour 50 000 $

• L’équipe Viettel a pu exécuter un débordement de tampon basé sur le tas et un débordement de tampon basé sur la pile contre le routeur TP-Link Omada Gigabit et le Canon imageCLASS MF753Cdw pour le SOHO Smashup pour 50 000 $

• Xiaomi, Western Digital, Synology, Canon, Lexmark, Sonos, TP-Link, QNAP, Wyze, Lexmark et HP ont tous été exploités pendant la compétition

Le gagnant global du Master of Pwn était l’équipe Viettel, avec 30 points Master of Pwn, remportant 180 000 $. Ils ont été suivis sur le tableau des leaders par l’équipe Orca de Sea Security avec 116 250 $ (17,25 points) et DEVCORE Intern et Interrupt Labs (chacun avec 50 000 $ et 10 points).

Chris Anastasio et Pentest Ltd. se sont classés quatrième et cinquième sur le tableau des leaders, respectivement, avec neuf points chacun et ont gagné 100 000 $ et 90 000 $.

Le programme complet de l’événement de hacking Pwn2Own Toronto 2023 peut être trouvé ici. Les résultats quotidiens pour chaque défi peuvent également être trouvés ici (1, 2, 3, 4).

Qu’est-ce que Pwn2Own ?

Pwn2Own est une compétition de hacking organisée chaque année par l’Initiative Zero Day (ZDI) de Trend Micro, où des hackers éthiques, des experts en cybersécurité et plusieurs autres concurrents participent.

Dans le concours de hacking Pwn2Own, les chercheurs en sécurité exploitent les derniers et les plus populaires dispositifs mobiles et IoT, démontrent leurs compétences et divulguent des vulnérabilités zero-day majeures aux entreprises technologiques. Les gagnants du concours reçoivent le dispositif qu’ils ont exploité et un prix en espèces.

Après l’événement, les fournisseurs ont 90 jours pour produire des correctifs pour ces bugs. Une fois le délai écoulé, le ZDI divulgue publiquement les failles, indépendamment de l’état du correctif.