Pwn2Own Ireland 2025’in ilk gününde, güvenlik araştırmacıları 34 benzersiz sıfır günü değerlendirdi ve 522.500 $ nakit ödül topladı.
Günün öne çıkan olayı, DDOS Takımından Bongeun Koo ve Evangelos Daravigkas’ın, WAN arayüzü aracılığıyla QNAP Qhora-322 Ethernet kablosuz yönlendiricisini hacklemek ve bir QNAP TS-453E NAS cihazına erişim sağlamak için sekiz sıfır gün kusurunu zincirlemeleriydi. Bu başarılı girişim için 100.000 $ kazandılar ve şu anda Master of Pwn sıralamasında 8 puanla ikinci sırada yer alıyorlar.
Synacktiv Ekibi, Çağırma Ekibinden Sina Kheirkhah, DEVCORE Ekibi ve Rapid7’den Stephen Fewer da sırasıyla Synology BeeStation Plus, Synology DiskStation DS925+, QNAP TS-453E ve Home Assistant Green’de kök saldıktan sonra 40.000 $ kazandı.
STARLabs, Team PetoWorks, Team ANHTUD ve Ierae araştırmacıları Canon imageCLASS MF654Cdw çok işlevli lazer yazıcıyı dört kez hacklediler; STARLabs ayrıca Sonos Era 300 akıllı hoparlörü hackleyerek 50.000 dolar kazandılar ve Team ANHTUD, Phillips Hue Bridge’den yararlanarak 40.000 dolar nakit topladı.
Çağırma Ekibinden Sina Kheirkhah ve McCaulay Hudson, Synology ActiveProtect Appliance DP320’de kök kazanmak ve 50.000 $ daha kazanmak için iki sıfır günü birleştiren bir istismar zinciri kullandı.
Summoning Team, yarışmanın ilk gününde toplam 102.500 $ kazandı ve 11,5 puanla Master of Pwn liderlik sıralamasında zirvede yer aldı.
Sıfır Gün Girişimi (ZDI), hedeflenen cihazlardaki güvenlik açıklarını, tehdit aktörlerinin bu açıkları istismar edebilmesinden önce tespit etmek ve etkilenen satıcılarla sorumlu açıklamayı koordine etmek için etkinliği yürütür.
Pwn2Own etkinlikleri sırasında sıfır gün kusurlarından yararlanıldıktan sonra, satıcılara Trend Micro’nun Sıfır Gün Girişimi bunları kamuya açıklamadan önce güvenlik güncellemelerini yayınlamaları için 90 gün süre verilir.
Pwn2Own Ireland 2025 bilgisayar korsanlığı yarışmasında, amiral gemisi akıllı telefonları (Apple iPhone 16, Samsung Galaxy S25 ve Google Pixel 9), mesajlaşma uygulamalarını, akıllı ev cihazlarını, yazıcıları, ev ağı ekipmanlarını, ağ depolama sistemlerini, gözetleme ekipmanlarını ve giyilebilir teknolojileri (Meta’nın Ray-Ban Akıllı Gözlükleri ve Quest 3/3S kulaklıkları dahil) hedef alan sekiz kategori yer alıyor.
Bu yıl ZDI, mobil kategorisine yönelik saldırı vektörlerini, rakiplerin fiziksel bağlantılar yoluyla kilitli telefonlara sızmasını gerektiren mobil telefonlar için USB bağlantı noktası istismarını da içerecek şekilde genişletti. Ancak Bluetooth, Wi-Fi ve yakın alan iletişimi (NFC) gibi geleneksel kablosuz protokoller geçerli saldırı vektörleri olmaya devam ediyor.
İkinci günde, güvenlik araştırmacıları yine ağa bağlı depolama, yazıcılar, akıllı ev ve gözetim sistemleri kategorilerindeki cihazların yanı sıra cep telefonları kategorisinde Samsung Galaxy S25’i hedef alacak.
Ağustos ayında açıklandığı gibi bu aynı zamanda ZDI’nın, kullanıcı etkileşimi olmadan kod yürütülmesine olanak tanıyan sıfır tıklamayla WhatsApp istismarını gösteren güvenlik araştırmacılarına ilk kez 1 milyon dolarlık bir ödül sunacağı anlamına geliyor.
Meta, QNAP ve Synology ile birlikte 21 Ekim – 24 Ekim tarihleri arasında İrlanda’nın Cork kentinde düzenlenen Pwn2Own Ireland 2025 hackleme yarışmasının ortak sponsorluğunu üstleniyor.
Geçen yılki Pwn2Own İrlanda etkinliği sırasında güvenlik araştırmacıları 70’ten fazla sıfır gün güvenlik açığı için 1.078.750 ABD doları kazandı; Viettel Cyber Security ise QNAP, Sonos ve Lexmark hataları için 205.000 ABD doları topladı.
Ocak 2026’da ZDI, Tokyo’daki Automotive World teknoloji fuarına geri dönecek Tesla’nın geri döndüğü üçüncü Pwn2Own Otomotiv yarışması için sponsor olarak.
Ortamların %46’sında şifreler kırıldı; bu oran geçen yılki %25’ten neredeyse iki katına çıktı.
Önleme, tespit ve veri hırsızlığı eğilimlerine ilişkin daha fazla bulguya kapsamlı bir bakış için Picus Blue Report 2025’i hemen edinin.