Pwn2Own 2024 bilgisayar korsanlığı yarışması, katılımcıların Tesla araçları, popüler tarayıcılar ve işletim sistemlerindeki kritik güvenlik açıklarını açığa çıkarmasıyla rekor kıran bir ilk güne sahne oldu. Bu, teknolojimizi güvence altına alma konusunda süregelen zorluğu ve hata ödül programlarının önemini vurguluyor.
Trend Micro'nun Zero Day Initiative'i tarafından Vancouver'da düzenlenen bir bilgisayar korsanlığı yarışması olan Pwn2Own 2024'te katılımcılar, Tesla arabalarına, tarayıcılara, Linux ve Windows sistemlerine karşı yapılan başarılı saldırılar sayesinde ilk günde 700.000 doların üzerinde para kazandı.
Fransız siber güvenlik firması Synacktiv'in bilgisayar korsanları, CAN veri yolu kontrolüne sahip Tesla ECU'yu hedef alan bir tamsayı taşması istismarından 200.000 dolar kazandı ve aynı zamanda yeni bir Tesla Model 3 kazandı. Bunun, bu yarışma için Tesla arabalarına yönelik tek planlı hackleme girişimi olduğunu belirtmekte fayda var.
Ancak bu, Synacktiv'in Pwn2Own'a hakim olduğu ilk sefer değil; daha önce de Pwn2Own Automotive 2024'te bir araba kazanmıştı.
Güvenlik Açığı Hakkında
Açıktan yararlanmanın belirli ayrıntıları açıklanmadan kalırken, Pwn2Own kurallarına göre satıcı yamalarına izin veren yarışma organizatörleri, tek bir tamsayı taşması kusurunun kullanıldığını doğruladı. Bu güvenlik açığı, ekibin arabanın içindeki önemli bir iletişim sistemi olan Tesla'nın CAN BUS'unun kontrolünü ele geçirmesine olanak sağladı. Synacktiv, Pwn2Own yarışmalarında ikinci zaferini garantilemek için tek bir tamsayı taşma hatası kullanarak Araç (VEH) CAN BUS Kontrollü Tesla ECU'dan yararlandı.
Birinci Günün Öne Çıkanları
Pwn2Own yarışmasının birinci gününde katılımcılara, 19 benzersiz sıfır gün güvenlik açığını bildirdikleri için ZDI tarafından 732.500 $ ödül verildi. İşte ödüllerin dağılımı.
Bağımsız beyaz şapkalı hacker Manfred Paul, Apple Safari'de bir tamsayı taşması hatası ve aynı tarayıcıdaki bir kusurdan yararlanan PAC bypass'ı kullanarak uzaktan kod yürütmesi karşılığında 102.500 dolar aldı. Paul ayrıca yarışmanın ikinci turunda nadir görülen bir CWE-1284 güvenlik açığını kullanarak Chrome ve Edge tarayıcılarında çift dokunma saldırısı gerçekleştirdi.
Güney Koreli ekip Theori, VMware Workstation'dan kaçmak ve Windows işletim sistemi üzerinde sistem olarak kod yürütmek için başlatılmamış bir değişken hatayı, serbest kullanım sonrası (UAF) güvenlik açığını ve yığın tabanlı arabellek taşmasını birleştirerek 130.000 ABD doları kazandı.
Oracle VirtualBox, REverse Tactics araştırmacıları tarafından hedef alınarak 90.000 dolar kazandı ve iki araştırmacı, ilgili Oracle VirtualBox açıklarından dolayı 20.000 dolar aldı.
Diğer Pwn2Own katılımcıları Chrome ve Edge, Safari, Adobe Reader, Windows 11 yerel ayrıcalık yükseltme ve iki Ubuntu yerel ayrıcalık yükseltme istismarından dolayı ödüller kazandı.
Seunghyun Lee, AbdulAziz Hariri ve Devcore Araştırma ekibi Google Chrome, Adobe Reader ve Windows 11 hatalarından başarıyla yararlanarak sırasıyla 60.000 ABD Doları, 50.000 ABD Doları ve 30.000 ABD Doları kazandılar. Lee, Google Chrome'da başarıyla bir istismar gerçekleştirdi, Hariri bir kod yürütme saldırısını tamamladı ve Devcore Araştırma ekibi bir yerel ayrıcalık yükseltme (LPE) saldırısını başarıyla gerçekleştirdi.
Katılımcılar ikinci gün VMware Workstation, Oracle VirtualBox, Firefox, Chrome, Edge, Ubuntu, Windows 11 ve Docker Desktop dahil olmak üzere çeşitli yazılımları hacklemeye çalışacaklar. Üç gün sürecek etkinlikte toplam 1,3 milyon dolar nakit para ve ödüller verilecek.
İLGİLİ KONULAR
- Whitehat hacker, Cloudflare için SQL enjeksiyon filtresini atladı
- Bilgisayar Korsanları Tesla'yı İki Kez Kırarak Pwn2Own'dan 1,3 Milyon Dolar Kazandı
- Beyaz şapkalı bilgisayar korsanları Canon DSLR fotoğraf makinesine fidye yazılımı bulaştırdı
- Whitehat hacker otellerdeki gizli kameraların nasıl tespit edileceğini gösteriyor
- Beyaz şapkalı hacker akıllı kahve makinesine fidye yazılımı bulaştırdı