Pwn2Own Ireland 2024’ün ikinci gününde, rakip beyaz şapkalı bilgisayar korsanları etkileyici 51 sıfır gün güvenlik açığını sergileyerek toplam 358.625 $ nakit ödül kazandı.
Pwn2Own, güvenlik araştırmacılarının, imrenilen “Pwn Ustası” unvanını ve 1.000.000 $ nakit ve ödülleri kazanmak için yazılım ve mobil donanım cihazlarından yararlanmak için yarıştığı bir bilgisayar korsanlığı yarışmasıdır.
Pwn2Own’un 2. gününde Viettel Siber Güvenlik ekibi, çeşitli kategorilerde göze çarpan performanslarıyla “Master of Pwn” unvanı yarışında güçlü bir liderliği sürdürdü.
ANHTUD’dan Pham Tuan Son ve ExLuck, yığın tabanlı arabellek taşması kullanarak Canon imageCLASS MF656Cdw yazıcıdan yararlanarak güne başladı ve 10.000 ABD doları ve 2 Master of Pwn puanı kazandı.
NCC Group’tan Ken Gannon, Samsung Galaxy S24’ten yararlanmak için yol geçişi de dahil olmak üzere beş hatayı zincirledi ve 50.000 $ ödeme ve 5 puan kazandı. Bu istismar onun bir uygulama yüklemesine ve popüler Android cihazına kabuk erişimi sağlamasına olanak sağladı.
Viettel Cyber Security’den Dungdm, Serbest Sonra Kullan (UAF) güvenlik açığını kullanarak Sonos Era 300 akıllı hoparlörün kontrolünü ele geçirdi. Başarılı başarısı, ekibinin kazancına 30.000 $ ve 6 Master of Pwn puanı ekledi.
Team Cluck’ın ikilisi Chris Anastasio ve Fabius Watson, QNAP TS-464 NAS’ı tehlikeye atmak için CRLF enjeksiyonu da dahil olmak üzere iki güvenlik açığını zincirlediler ve bu süreçte 20.000 $ ve 4 puan kazandılar.
Reverse Tactics’ten Corentin BAYET, zincirindeki üç hatadan birinin QNAP QHora-322 yönlendiricisini hedef alırken daha önceki turlarda tekrarlanması olmasına rağmen 41.750 dolar ve 8,5 puan kazandı.
Çarpışmalar ve başarısızlıklar
2. günde ayrıca birkaç çarpışma yaşandı; bu, aynı istismarın diğer araştırmacılar tarafından kullanıldığı ve ayrıca ayrılan sürede cihazları hacklemeye yönelik başarısız girişimler olduğu anlamına geliyor.
Tenable ve Synactiv, sırasıyla Lorex 2K ve Synology BeeStation cihazlarını hacklerken çarpışmalar nedeniyle daha az ödeme ve daha az puan aldı.
Ayrıca DEVCORE, Rapid7 ve Neodyme, güvenlik açıklarını zaman sınırları içinde gerçekleştirmede zorluklarla karşılaştı ve bu da Sonos Era 300 ve Lexmark CX331adwe yazıcı gibi cihazlarda çok sayıda başarısız denemeyle sonuçlandı.
Tüm aksaklıklara rağmen, Pwn2Own rekabeti yoğun olmaya devam ediyor, ancak yarıya ulaştı ve katılımcıların sıralamada daha üst sıralara tırmanması için iki gün kaldı.
Bu noktada araştırmacılar, 52’si ilk günde olmak üzere toplam 103 sıfır gün güvenlik açığından yararlandı ve 847.875 dolar ödül kazandı.