Oltre 1 Milione di Dollari Assegnati a Hacker nel Pwn2Own di Toronto

Pwn2Own, il concorso annuale di hacking informatico che si è concluso a Toronto, Canada, il 27 ottobre 2023, ha visto i ricercatori di sicurezza guadagnare $1.038.500 per 58 exploit zero-day unici (e molteplici collisioni di bug).

L’evento di hacking di quattro giorni si è svolto tra il 24 ottobre 2023 e il 27 ottobre 2023, con un montepremi da vincere superiore a $1.000.000 USD e altre forme di premi disponibili per i concorrenti.

L’evento di hacking aveva più categorie per i ricercatori di sicurezza da mirare nella competizione, che includevano stampanti, sistemi di sorveglianza, dispositivi di archiviazione collegati in rete (NAS), telefoni cellulari, hub di automazione domestica, altoparlanti intelligenti e i dispositivi Pixel Watch e Chromecast di Google.

Il concorso di hacking ha visto il Samsung Galaxy S23 essere hackerato con successo quattro volte dai team di Pentest Ltd, STAR Labs SG, Interrupt Labs e ToChim. Mentre Pentest Ltd e Interrupt Labs sono stati in grado di eseguire una Validazione di Input Impropria contro il Samsung Galaxy S23, STAR Labs SG e ToChim sono stati in grado di sfruttare un elenco permissivo di input consentiti contro lo smartphone.

Inoltre, lo sfruttamento del Samsung Galaxy S23 ha guadagnato ai team di Pentest Ltd e Interrupt Labs una ricompensa di $50.000 e $25.000, rispettivamente, e 5 punti Master of Pwn, mentre i team di STAR Labs SG e ToChim hanno ottenuto $25.000 e 5 punti Master of Pwn ciascuno per i loro exploit.

Altri Punti Salienti:

• Chris Anastasio è stato in grado di sfruttare un bug nel TP-Link Omada Gigabit Router e un altro nel Lexmark CX331adwe per $100.000

• Il Team Orca di Sea Security ha eseguito una catena di 2 bug utilizzando un OOB Read e UAF contro il Sonos Era 100 per $60.000

• Un tirocinante di DEVCORE ha eseguito un attacco di overflow dello stack contro il TP-Link Omada Gigabit Router e ha sfruttato due bug nel QNAP TS-464 per $50.000

• Il Team Viettel è stato in grado di eseguire un overflow del buffer basato su heap e un overflow del buffer basato su stack contro il TP-Link Omada Gigabit Router e il Canon imageCLASS MF753Cdw per il SOHO Smashup per $50.000

• Xiaomi, Western Digital, Synology, Canon, Lexmark, Sonos, TP-Link, QNAP, Wyze, Lexmark e HP sono stati tutti sfruttati durante la competizione

Il vincitore assoluto del Master of Pwn è stato il Team Viettel, con 30 punti Master of Pwn, vincendo $180.000. Sono stati seguiti nella classifica dal Team Orca di Sea Security con $116.250 (17,25 punti) e dai tirocinanti di DEVCORE e Interrupt Labs (ciascuno con $50.000 e 10 punti).

Chris Anastasio e Pentest Ltd. si sono classificati quarti e quinti nella classifica, rispettivamente, con nove punti ciascuno e hanno vinto $100.000 e $90.000.

Il programma completo dell’evento di hacking Pwn2Own Toronto 2023 può essere trovato qui. I risultati giorno per giorno per ciascuna sfida possono anche essere trovati qui (1, 2, 3, 4).

Cos’è Pwn2Own?

Pwn2Own è una competizione di hacking organizzata ogni anno dall’Iniziativa Zero Day (ZDI) di Trend Micro, dove partecipano hacker etici, esperti di cybersecurity e diversi altri concorrenti.

Nel concorso di hacking Pwn2Own, i ricercatori di sicurezza sfruttano i più recenti e popolari dispositivi mobili e dispositivi IoT, dimostrano le loro abilità e rivelano importanti vulnerabilità zero-day alle aziende tecnologiche. I vincitori del concorso ricevono il dispositivo che hanno sfruttato e un premio in denaro.

Dopo l’evento, i fornitori hanno 90 giorni per produrre patch per questi bug. Una volta scaduto il termine, ZDI rivela pubblicamente i difetti, indipendentemente dallo stato della patch.