Zero Day Initiative’in (ZDI) Toronto ofisinde düzenlenen bu yılki Pwn2Own 6 Aralık 2022’de yarışmacıların hem bizzat hem de uzaktan katılımıyla sorunsuz başladı. Etkinlik günlerindeki işlemlere dalmadan önce, Pwn2Own’un ne olduğundan ve nasıl başladığından bahsedelim.
Pwn2Own nedir?
Pwn2Own, güvenlik araştırmacılarının BT donanım ve yazılım üreticilerinin güvenli olduğuna inandıkları cihazları hacklemeye davet edildiği bir bilgisayar korsanlığı yarışmasıdır.
Pwn2Own Toronto 2022’de yarışmacıların hacklemek için cep telefonları, kablosuz yönlendiriciler, ev otomasyon merkezleri, yazıcılar, akıllı hoparlörler ve NAS cihazları gibi hedefleri olacaktır.
Başarılı bir hack ile sonuçlanan çabaları için katılımcılar para ödülü ile ödüllendirilir.
Nisan 2007’de Vancouver’daki CanSecWest konferansı sırasında başlayan Pwn2Own, oldukça saygın bir rekabet haline gelmek için uzun bir yol kat etti. Güvenlik araştırmacısı Dragos Ruiu, Apple’ın aşılmaz güvenlik sistemini test etmek istediğinde başladı ve o zamandan beri, rekabet benzer bir misyon ifadesini izledi.
Yalnızca kuruluşların hata raporlamasını normalleştirmesine izin vermekle kalmadı, aynı zamanda sektörün güvenliğe bakışını da değiştirdi.
Bu sonbahardaki Pwn2Own etkinliği, bir tehdit aktörünün bir ev ofisinden yararlanacağı gerçek dünya ortamını birleştirmek için “SOHO Smashup” (Küçük Ofis/Ev Ofisi) adlı yeni bir kategoriyi tanıttı.
Bir yarışmacının bir yönlendirici seçmesi ve WAN arayüzünden yararlanmaya başlaması gerekecek ve ardından NAS cihazı, akıllı hoparlör veya yazıcı gibi ikinci bir cihazın hacklendiği LAN’a döneceklerdi.
1. GÜN İŞLEMLERİ
bu ilk gün Telefonları, yazıcıları, yönlendiricileri ve NAS cihazlarını hedef alan istismarlar için toplam 400.000 $ kazanan katılımcılar yarışmaya katıldı.
Yarışmada yinelenen bir yarışmacı olan Devcore ekibi, MikroTik yönlendiricisini ve ona bağlı bir Canon yazıcıyı hackleyerek SOHO Smashup kategorisinde en yüksek tek ödül olan 100.000$’ı kazandı.
50.000 $’lık ödülle ikinci olan, bir Netgear yönlendiricisini ve bir HP yazıcıyı başarıyla hackleyen Neodyme ekibi oldu.
Bu arada, Star Labs ekibi de bir Samsung Galaxy S22 akıllı telefonunu hacklemekten 50.000 dolar kazandı. Aynı cihaz, 25.000 dolar kazanan Chim adlı bir katılımcı tarafından da hacklendi.
Endüstriyel ve IoT siber güvenlik firması Claroty’deki araştırmacılar, bir Synology DiskStation NAS cihazını hacklemekten 40.000 $ kazandı.
Ayrıca Canon, HP, Lexmark yazıcıları, TP-Link ve Synology yönlendiricilerini hackleyenlere birden fazla 20.000$ ödül verildi. İki takımın her biri Synology NAS ve HP yazıcı hack’leri için 10.000 $ kazandı.
SOHO Smashup girişi hariç, Netgear yönlendirici istismarları daha küçük ödüller kazandı. Tenable dahil bazı yarışmacıların Netgear istismarları, satıcı tarafından yayınlanan bir son dakika düzeltmesi nedeniyle yarışmadan sadece birkaç gün önce etkisiz hale getirildi.
26 yarışmacının 66 istismar için kaydolmasıyla ZDI, nakit ödülün tamamının her hedefin ilk galibine verilmesine karar verdi ve ardından gelen istismarlar para ödülünün %50’sini aldı.
2. GÜN İŞLEMLERİ
Yarışmanın ikinci gününde, katılımcılar başarılarından toplamda 280.000 dolardan fazla kazandılar. Toplam miktarın büyük bir kısmı, akıllı hoparlör, Sonos One akıllı hoparlörlerdeki belirli güvenlik açıkları hedef alınarak kazanıldı.
Bir Sonos One hoparlörünü hacklediği için Qrios Secure’dan bir ekibe 60.000$, bir yeni ve daha önce bilinen bir kusuru hedef alan bir açıktan yararlanma nedeniyle Star Labs ekibine 22.500$ gitti.
Bugscale ekibi, yine yeni ve önceden bilinen hataların kullanıldığı bir Synology yönlendiricisini ve bir HP yazıcıyı hedef alan bir SOHO Smashup açığından 37.500 $ kazandı.
Bir diğer önemli ödül, NAS kategorisinde bir WD My Cloud Pro hack’i için 40.000 $ ödül alan araştırmacı Luca Moro tarafından kazanıldı. Interrupt Labs, bir Samsung Galaxy S22 telefonunu hacklediği için 25.000 $ kazandı.
Saldırıya uğrayan cihazların listesi Pwn2Own’un ikinci günüKatılımcıların 1.250 ila 10.000 ABD Doları arasında kazandığı, HP, Lexmark, Canon yazıcılar, Netgear, Synology ve TP-Link yönlendiricileri içerir.
ZDI, ilk iki günde 43 yeni ve benzersiz güvenlik açığı için toplam 681.000 $ ödendiğini duyurdu. Etkinlik başarılı bir şekilde ilerledikçe, tedarikçiler ve bağımsız araştırmacılar arasındaki ilişkiyi geliştirmek için bir işaret olarak hizmet etmesini dört gözle bekliyoruz.
Alakalı haberler
- Firefox, Edge, Safari, Tesla ve VMware, Pwn2Own’da yerini aldı
- Pwn2Own 2022 – Windows 11, MS Teams ve Pwned Firefox
- Mobil Pwn2Own: Bilgisayar korsanları iPhone, Huawei, Galaxy ve Pixel’i kuruyor
- MS Exchange sunucusu, Teams, Zoom, Chrome, Pwn2Own’da satın alındı
- Pwn2Own: Xiaomi, Amazon Eko, Sony ve Samsung Akıllı TV’ler satın alındı