Oto wyniki Pwn2Own Ireland 2024

Darkcrizt

4 minut

Pwn2Own Irlandia 2024

Kilka dni temu Wyniki konkurs cyberbezpieczeństwa „Pwn2Own Irlandia 2024”, który odbył się w dniach 22-25 października. W ciągu tych czterech dni wykazał wiele udanych ataków w oparciu o luki dnia zerowego, które dotyczyły różnych urządzeń, takich jak smartfony, systemy NAS i kamery IP.

W ciągu 4 dni wydarzenia m.in. W sumie przeprowadzono 38 ataków na najnowszym oprogramowaniu sprzętowym i systemach operacyjnych, co zaowocowało różnymi nagrodami o łącznej wartości blisko miliona dolarów, wśród najbardziej godnych uwagi ataków zaprezentowanych w konkursie możemy wymienić następujące.

Podczas Pierwszego dnia zaprezentowano większość demonstracji ataków, a spośród nich następujące skutecznie osiągnęły swój cel:

  • Lorex 2K: Pięć udanych hacków z lukami w zabezpieczeniach związanymi z przepełnieniem bufora i wyłuskiwaniem wskaźników. Nagrody wynosiły 30,000 15,000 dolarów, 3,750 XNUMX dolarów i trzy po XNUMX dolarów.
  • QNAP QTime-322: Przeprowadzono sześć włamań (2 na routerze i 2 na serwerze NAS) z wykorzystaniem uwierzytelniania, przechodzenia ścieżek i problemów z podstawieniem SQL, za co nagrody osiągnęły kwotę do 100,000 XNUMX dolarów.
  • Era Sonosa 300: Trzy udane exploity wykorzystujące przepełnienie bufora i wolne luki w pamięci, z nagrodami o wartości 60,000 30,000 dolarów i dwoma po XNUMX XNUMX dolarów.
  • HP Color LaserJet Pro 3301fdw: Dwa hacki, wykorzystujące przepełnienie stosu i luki w obsłudze nieprawidłowych typów, zarobiły 20,000 10,000 i XNUMX XNUMX dolarów.
  • Canon imageCLASS MF656Cdw: Trzy exploity oparte na przepełnieniu stosu, z nagrodami w wysokości 20,000 10,000 $, 5,000 XNUMX $ i XNUMX $.
  • Serwer QNAP TS-464: Cztery udane ataki opierały się na lukach w zabezpieczeniach, takich jak wykorzystanie pozostałych kluczy kryptograficznych w oprogramowaniu sprzętowym oraz problemy z weryfikacją certyfikatu i podstawieniem poleceń SQL. Nagrody wahały się od 10,000 40,000 do XNUMX XNUMX dolarów.
  • Synology TC500- Wykorzystali przepełnienie bufora oparte na stosie, które wygrało nagrodę w wysokości 30,000 XNUMX dolarów.
  • Wszechobecność AI Bullet: Wykorzystał kombinację błędów w swoim łańcuchu ataków, aby wykorzystać i błyskać światłami (a także zdobyć powłokę root). Nagroda wyniosła 30,000 XNUMX dolarów.
  • Synology DiskStation DS1823xs+: użył skryptu OOB, aby uzyskać powłokę i zmodyfikowaną stronę logowania

Od drugiego dnia kilkakrotnie miały miejsce ataki na te same urządzenia, ale nadal nagradzano te same rodzaje ataków lub błędów, które zostały skutecznie wykorzystane:

  • Samsung Galaxy S24: Exploit obejmujący pięć luk, w tym problem z przechodzeniem ścieżki w celu uzyskania powłoki i zainstalowania w niej aplikacji, został nagrodzony kwotą 50,000 XNUMX dolarów.
  • Era Sonosa 300- Wykorzystano pojedynczy błąd Use-After-Free (UAF) do wykorzystania głośnika i został nagrodzony 30,000 XNUMX dolarów.
  • NAS True Storage X: Pojedynczy atak został nagrodzony kwotą 20,000 XNUMX dolarów.
  • Stacja Synology BeeStation BST150-4T: Cztery włamania polegające na obejściu uwierzytelniania i zastąpieniu poleceń przyniosły nagrody w wysokości od 10,000 40,000 do XNUMX XNUMX dolarów.
  • Stacja dyskowa Synology: Do wykonania exploita użyli nieprawidłowego błędu sprawdzania poprawności certyfikatu. Nagrodą było 20,000 XNUMX dolarów.
  • Hub inteligentnego domu AeoTec: Włamanie polegające na nieprawidłowej weryfikacji podpisu kryptograficznego, z nagrodą w wysokości 40,000 XNUMX dolarów.

Dzień 3:

  • Drukarka QNAP QHora-322: Użyli zapisu OOB i błędu uszkodzenia pamięci. Kolejny atak opierał się na połączeniu 4 błędów, obejmujących wstrzyknięcie polecenia i przekroczenie trasy. Nagrody wyniosły 25,000 XNUMX dolarów.
  • Lexmark CX331adwe: Za exploit wykorzystujący lukę Type Confusion zapłacono 20,000 XNUMX dolarów.
  • Synology BeeStation: Do wykorzystania i wykonania kodu wykorzystano błąd niezabezpieczonego kanału głównego. Nagrodą było 10,000 XNUMX dolarów.

Dzień 4:

  • Prawdziwy NAS X: wykorzystał dwa błędy, które zostały już wcześniej zaprezentowane. Przyznana nagroda wyniosła 20,000 XNUMX dolarów.
  • TrueNAS Mini Wykorzystano dwa błędy eksploatacyjne. Nagrodą było 20,000 XNUMX dolarów
  •  QNAP QTime-322: Wykorzystano 6 błędów, choć widziano to już w konkursie. Mimo to nagroda wyniosła 23,000 XNUMX dolarów.

Na koniec warto o tym wspomnieć odbyło się 16 nieudanych prób włamań ze względu na ograniczenia czasowe, mające wpływ na urządzenia takie jak kamery bezpieczeństwa Ubiquiti, Synology i Lorex, różne drukarki i serwery NAS oraz głośnik Sonos Era 300.

Odnośnie informacji szczegółowe z tych luk zostanie ujawnionych po 90 dniach, które pozwolą producentom wdrażać łatki i zabezpieczać swoje urządzenia przed demonstrowanymi w konkursie atakami.

Jeżeli jesteś chcesz dowiedzieć się więcej na ten temat, możesz sprawdzić szczegóły w następujący link.


Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.