Araştırmacılar, Toronto Pwn2Own bilgisayar korsanlığı yarışmasında 26 farklı 0 günlük kusur için 400.000 $ aldı.
Etkinliğin 1. Gününün ardından Samsung Galaxy, iki SOHO Smashup gösterisinde başarıyla kullanıldı ve iki kez istismar edildi.
Pwn2Own 2. Gün
NAS kategorisinde Luca MORO, WD My Cloud Pro Serisi PR4100’e karşı Klasik Tampon Taşması saldırısını başarıyla kullandı. 40.000 $ ve 4 Master of Pwn puanı onlara aittir.
Yazıcı Kategorisi
ANHTUD Bilgi Güvenliği Departmanı, 2. Günün ilk denemesinde, Yazıcı sınıfındaki bir HP Color LaserJet Pro M479fdw’de biri yığın tabanlı arabellek taşması olmak üzere 2 kusura karşı güvenlik açığı çalıştırmayı başardı. 10.000 $ ve 2 Master of Pwn puanı onlara aittir.
Aleksei Stafeev, özel bir komut enjeksiyonu ve yarışmada daha önce keşfedilen başka bir kusur kullanarak, akşamın son denemesi için Yazıcı kategorisindeki Lexmark MC3224i’ye başarıyla bir saldırı başlattı. 7.5K dolar ve 1.5 Master of Pwn puanı verilir.
SOHO Smashup Kategorisi
İlk SOHO SMASHUP mücadelesinde Bugscale, Synology yönlendiricisine ve HP yazıcıya karşı yeni bir hatayı ve bilinen başka bir hatayı kullanarak başarılı bir saldırı başlattı. 7.5 Master of Pwn puanı ve 37.500$ alıyorlar.
Akıllı Hoparlör Kategorisi
Akıllı Hoparlör kategorisindeki Sonos One Speaker, Qrious Secure’tan Toan Pham ve Tri Dang tarafından 2 açıktan yararlanılarak gerçekleştirilen bir saldırının hedefi oldu. 60K ve 6 Master of Pwn puanı kendilerine ait.
STAR Labs, benzersiz bir kusurun ve daha önce tanımlanan başka bir hatanın yardımıyla, Akıllı Hoparlör kategorisinde Sonos One Speaker’a karşı bir saldırı başlatmayı başardı. 4.5 Master of Pwn puanı ve 22.500$ alırlar.
Yönlendirici Kategorisi
NETGEAR RAX30 AX2400, PHPHooligans’ın WAN arayüzüne karşı yürütebildiği iki saldırıya karşı savunmasızdı. Bu arada kullandıkları numaralar yarışmada çoktan kullanılmıştı. Yine de 10.000$ ve bir Master of Pwn puanı alıyorlar.
Bir özel kusur ve başka bir N gün kullanan NCC Group EDG, yönlendirici kategorisindeki NETGEAR RAX30 AX2400’ün WAN arayüzüne başarılı bir saldırı başlatmayı başardı. 7.5K dolar ve 1.5 Master of Pwn puanı verilir.
Cep Telefonu Kategorisi
Interrupt Labs, hatalı giriş doğrulama saldırısını Samsung Galaxy S22’ye karşı kullanmakta başarılı oldu. 5 Master of Pwn puanı ve 25.000 $ alırlar.
Trend Micro Zero Day Initiative’de tehdit farkındalığı başkanı Dustin Childs bir röportajda, “Bu etkinlik, 26 ekibin çeşitli hedeflere karşı 66 açıktan yararlanma denemesiyle şimdiye kadarki en büyük etkinliğimiz olacak” dedi.
Nisan ayındaki Miami etkinliğindeki katılımcılar, 26 açıktan yararlanma ve hata çakışmasını başarıyla sergiledikleri için 400.000 ABD Doları aldı. Vancouver’daki katılımcılar, 25 orijinal sıfır gün istismarını gösterdikleri için Mayıs ayında 1,15 milyon ABD doları aldı.
Hizmet Olarak Sızma Testi – Red Team ve Blue Team Workspace’i İndirin