$1 миллион за 4 дня: хакеры превратили уязвимости в золото

Четвёртый день соревнования Pwn2Own Ireland 2024 завершился с более чем миллионным призовым фондом за обнаружение свыше 70 уникальных уязвимостей нулевого дня в полностью обновлённых устройствах.

В ходе конкурса специалисты по кибербезопасности проверяли на уязвимости различные программные и аппаратные продукты, стремясь завоевать титул «Master of Pwn». Участники соревновались в восьми категориях – мобильные телефоны, мессенджеры, системы домашней автоматизации и умные колонки, принтеры, системы видеонаблюдения, сетевые накопители и SOHO Smash-up.

Мероприятие стало четвёртым подряд, когда белые хакеры превысили отметку в миллион долларов, заработав в общей сложности $1 066 625. На заключительном этапе участники успешно провели атаки на устройства Lexmark, TrueNAS и QNAP.

• Команда Smoking Barrels выявила две уязвимости в TrueNAS X. Несмотря на то, что одна из уязвимостей уже использовалась ранее, команда получила $20 000 и 2 очка Master of Pwn за успешную эксплуатацию.
• Команда Cluck применяла цепочку из шести уязвимостей, чтобы перейти от устройства QNAP QHora-322 к Lexmark CX331adwe. Хотя один из уязвимых элементов уже был задействован ранее, участники заработали $23 000 и получили очки Master of Pwn.
• Специалисты из Viettel Cyber Security продемонстрировали атаку на TrueNAS Mini X, используя две уязвимости. В их цепочке также была использована уязвимость, ранее замеченная в соревновании, но за демонстрацию атаки они получили $20 000 и 2 очка Master of Pwn.
• Группа PHP Hooligans / Midnight Blue воспользовалась уязвимостью переполнения целого числа для успешной эксплуатации принтера Lexmark, что принесло $10 000 и 2 очка Master of Pwn.

Титул «Master of Pwn» завоевала Viettel Cyber Security, набравшая 33 очка и заработавшая $205 000 за выявленные уязвимости в NAS QNAP, колонках Sonos и принтерах Lexmark.

Итоговый рейтинг Pwn2Own Ireland 2024 (Источник: Zero Day Initiative )

Следующий конкурс Pwn2Own состоится 22 января 2025 года в Токио, Япония. Основной темой мероприятия станет автомобильная отрасль с четырьмя категориями для участников: Tesla, информационно-развлекательные системы, зарядные устройства для электромобилей и операционные системы. Zero Day Initiative (ZDI) уже опубликовала детали по категориям и размеру призов за успешные атаки.

В первый день хакеры нашли 52 уязвимости нулевого дня, на второй — ещё 51 штуку Третий день отметился успешными выступлениями команд Viettel Cyber Security, DEVCORE и PHP Hooligans/Midnight Blue, которые выявили 11 новых уязвимостей нулевого дня.