Pwn2Own İrlanda’nın ilk gününde katılımcılar çeşitli cihazlarda 52 sıfır gün güvenlik açığını göstererek toplam 486.250 $ nakit ödül kazandılar.
Viettel Cyber Security, “Master of Pwn” unvanı için mücadelelerinde 13 puan alarak erkenden liderliği ele geçirdi. Ekibin phudq ve namnp’si, Lorex 2K WiFi kamerasını yığın tabanlı arabellek taşması güvenlik açığından yararlanarak 30.000 dolar ve 3 puan aldı.
Summoning Team’den Sina Kheirkhah, QNAP QHora-322 yönlendiricisinden TrueNAS Mini X cihazına giden dokuz güvenlik açığı zinciriyle şovu çaldı ve bu da 100.000 $ ödeme ve 10 Master of Pwn puanı getirdi.
Bunu RET2 Systems’den Jack Dates, Sonos Era 300 akıllı hoparlöründe başarılı bir sınır dışı (OOB) yazma istismarıyla takip ederek 60.000 $ ve 6 puan kazandı. Onun istismarı, cihaz üzerinde tam kontrole izin verdi.
İkinci bir Viettel Siber Güvenlik girişimi, QNAP QHora-322 yönlendiricisinden TrueNAS Mini X’e geçiş yapmak için dört yeni hatayı birleştirdi ve onlara 50.000 dolar ve 10 puan daha kazandırdı.
Pwn2Own’un ilk gününden diğer önemli girişimler arasında şunlar yer alıyor:
- Neodyme Ekibi, HP Color LaserJet Pro MFP 3301fdw yazıcıyı hedeflemek için yığın tabanlı arabellek taşmasından yararlandı. Başarıları 20.000$ ve 2 puanla ödüllendirildi.
- PHP Hooligans / Midnight Blue, tek bir hata kullanarak Canon imageCLASS MF656Cdw yazıcıdan yararlanarak 20.000 dolar kazandı.
- ANHTUD’dan ExLuck, QNAP TS-464 NAS cihazından yararlanmak için uygunsuz sertifika doğrulaması ve sabit kodlanmış bir şifreleme anahtarı dahil olmak üzere dört yeni hatayla liderlik tablosuna katıldı. Bu çaba 40.000 $ ve 4 Master of Pwn puanı kazandırdı.
- Gözetim cephesinde, Rapid7’den Ryan Emmons ve Stephen Fewer, argüman sınırlayıcıları hatasını uygunsuz bir şekilde etkisiz hale getirerek Synology DiskStation DS1823xs+’dan başarıyla yararlanarak 40.000 $ ve 4 puan kazandılar.
Yine de ilk gün zorluklar ve kısmi başarısızlıklar olmadan geçmedi. Summoning Team, QNAP TS-464 ve Synology BeeStation BST150-4T istismarlarını zamanında gerçekleştirmekte zorlanırken Synacktiv, Lorex 2K kamera istismarında bir hata çarpışması yaşadı ve 11.250 $ tutarında azaltılmış ödeme elde etti.
Birkaç aksaklığa rağmen Pwn2Own Ireland 2024’ün ilk günü yüksek riskli hackler ve eşleşen ödüllerle doluydu.
Yarışmaya üç gün daha kaldı ve katılımcılar, yazıcılar, NAS sistemleri, WiFi kameralar, yönlendiriciler, akıllı hoparlörler, cep telefonları (Samsung Galaxy S24) dahil olmak üzere tamamen yama uygulanmış SOHO cihazlarında bulunan güvenlik sorunlarından belirli bir süre boyunca yararlanmaya çalışacaklar. 1 milyon dolarlık havuz ödülü.