In a doua zi a hackathon-ului Pwn2Own Ireland 2024, hackerii etici au demonstrat 51 de vulnerabilități zero-day impresionante, câștigând un total de 358.625 de dolari în premii în bani.
Pwn2Own este un concurs de hacking în care cercetătorii în securitate concurează pentru a exploata software și dispozitive hardware mobile pentru a câștiga titlul mult dorit de „Maestru al Pwn” și 1.000.000 de dolari în bani și premii.
În ziua a doua a Pwn2Own, echipa de securitate cibernetică Viettel a menținut un avans puternic în cursa pentru titlul de „Maestru al Pwn”, cu performanțe remarcabile în mai multe categorii.
Pham Tuan Son și ExLuck de la ANHTUD au început ziua exploatațiile prin exploatarea unei imprimante Canon imageCLASS MF656Cdw folosind o suprapunere a stivei, câștigând 10.000 de dolari și 2 puncte de Maestru al Pwn.
Ken Gannon de la NCC Group a legat cinci bug-uri, inclusiv o traversare a căii, pentru a exploata Samsung Galaxy S24, obținând un plătit de 50.000 de dolari și 5 puncte. Exploatarea sa i-a permis să instaleze o aplicație și să obțină acces la shell pe dispozitivul Android popular.
Dungdm de la Viettel Cyber Security a preluat controlul unui difuzor inteligent Sonos Era 300 folosind o vulnerabilitate Use-After-Free (UAF). Exploatarea sa de succes a adăugat 30.000 de dolari la câștigurile echipei sale și 6 puncte de Maestru al Pwn.
Duo-ul Team Cluck, Chris Anastasio și Fabius Watson, au legat două vulnerabilități, inclusiv o injectare CRLF, pentru a compromite NAS-ul QNAP TS-464, câștigând 20.000 de dolari și 4 puncte în proces.
Corentin BAYET de la Reverse Tactics a câștigat 41.750 de dolari și 8,5 puncte, în ciuda faptului că unul dintre cele trei bug-uri din lanțul său a fost unul repetat din runde anterioare, în timp ce viza routerul QNAP QHora-322.
Ziua a doua a avut și mai multe coliziuni, însemnând că aceeași exploatare a fost folosită de alți cercetători, precum și încercări nereușite de a sparge dispozitivele în timpul alocat.
Tenable și Synactiv au primit plăți reduse și mai puține puncte din cauza coliziunilor atunci când au spart dispozitivele Lorex 2K și Synology BeeStation, respectiv.
De asemenea, DEVCORE, Rapid7 și Neodyme au întâmpinat dificultăți în executarea exploatațiilor lor în limitele de timp, rezultând în mai multe încercări eșuate pe dispozitive precum Sonos Era 300 și imprimanta Lexmark CX331adwe.
În ciuda obstacolelor, competiția Pwn2Own rămâne intensă, aflându-se doar la jumătate, cu două zile rămase pentru participanți să urce mai sus în clasament.
Până în acest moment, cercetătorii au exploatat un total de 103 vulnerabilități zero-day, 52 în prima zi, și au câștigat 847.875 dolari în premii.
Hackerii exploatează 52 de vulnerabilități zero-day în prima zi a Pwn2Own Ireland
Mandiant spune că noua vulnerabilitate Fortinet a fost exploatată începând din iunie
Hackerii Lazarus au folosit un joc DeFi fals pentru a exploata vulnerabilitatea zero-day Google Chrome
Fortinet avertizează cu privire la o nouă vulnerabilitate critică FortiManager folosită în atacuri zero-day
Anunțurile malitioase au exploatat vulnerabilitatea zero-day Internet Explorer pentru a descărca malware
Leave a Reply