Более 1 миллиона долларов награды хакерам на Pwn2Own в Торонто

Pwn2Own, ежегодный конкурс по компьютерному хакерству, который завершился в Торонто, Канада, 27 октября 2023 года, увидел, как исследователи безопасности заработали 1,038,500 долларов за 58 уникальных нулевых уязвимостей (и несколько столкновений ошибок).

Четырехдневное хакерское событие проходило с 24 по 27 октября 2023 года, с призовым фондом более 1,000,000 долларов США и другими формами призов для участников.

На хакерском мероприятии было несколько категорий, на которые исследователи безопасности могли нацелиться в конкурсе, включая принтеры, системы видеонаблюдения, устройства сетевого хранения (NAS), мобильные телефоны, хабы для домашней автоматизации, умные колонки, а также устройства Google Pixel Watch и Chromecast.

На конкурсе хакеров Samsung Galaxy S23 был успешно взломан четыре раза командами Pentest Ltd, STAR Labs SG, Interrupt Labs и ToChim. В то время как Pentest Ltd и Interrupt Labs смогли выполнить неправильную проверку входных данных против Samsung Galaxy S23, STAR Labs SG и ToChim смогли использовать разрешенный список допустимых входных данных против смартфона.

Кроме того, эксплуатация Samsung Galaxy S23 принесла командам Pentest Ltd и Interrupt Labs вознаграждение в размере 50,000 долларов и 25,000 долларов соответственно, а также 5 очков Master of Pwn, в то время как команды STAR Labs SG и ToChim получили по 25,000 долларов и 5 очков Master of Pwn за свои эксплойты.

Другие основные моменты:

• Крис Анастасио смог использовать уязвимость в маршрутизаторе TP-Link Omada Gigabit и другую в Lexmark CX331adwe за 100,000 долларов

• Команда Orca из Sea Security выполнила цепочку из 2 ошибок, используя OOB Read и UAF против Sonos Era 100 за 60,000 долларов

• Стажер DEVCORE выполнил атаку переполнения стека против маршрутизатора TP-Link Omada Gigabit и использовал две уязвимости в QNAP TS-464 за 50,000 долларов

• Команда Viettel смогла выполнить переполнение буфера на куче и переполнение буфера на стеке против маршрутизатора TP-Link Omada Gigabit и Canon imageCLASS MF753Cdw за SOHO Smashup за 50,000 долларов

• Xiaomi, Western Digital, Synology, Canon, Lexmark, Sonos, TP-Link, QNAP, Wyze, Lexmark и HP были все использованы во время соревнования

Общий победитель Master of Pwn — команда Viettel с 30 очками Master of Pwn, выигравшая 180,000 долларов. За ними на лидерборде следовала команда Orca из Sea Security с 116,250 долларов (17.25 очков) и стажеры DEVCORE и Interrupt Labs (каждый с 50,000 долларов и 10 очками).

Крис Анастасио и Pentest Ltd. заняли четвертое и пятое места в таблице лидеров соответственно, с девятью очками каждый, и выиграли 100,000 долларов и 90,000 долларов.

Полное расписание хакерского события Pwn2Own Toronto 2023 можно найти здесь. Результаты по дням для каждого вызова также можно найти здесь (1, 2, 3, 4).

Что такое Pwn2Own?

Pwn2Own — это конкурс по хакерству, организованный каждый год Инициативой нулевого дня (ZDI) компании Trend Micro, в котором участвуют этичные хакеры, эксперты по кибербезопасности и несколько других участников.

На конкурсе Pwn2Own исследователи безопасности эксплуатируют последние и самые популярные мобильные устройства и устройства IoT, демонстрируют свои навыки и раскрывают основные нулевые уязвимости технологическим компаниям. Победители конкурса получают устройство, которое они эксплуатировали, и денежный приз.

После мероприятия вендоры имеют 90 дней на создание патчей для этих ошибок. По истечении срока ZDI публично раскрывает недостатки, независимо от статуса патча.