A treia zi a evenimentului Pwn2Own Ireland 2024 a continuat să demonstreze expertiza hackerilor etici, aceștia expunând 11 vulnerabilități zero-day, adăugând astfel 124.750 de dolari la fondul total de premii, care acum se ridică la 874.875 de dolari.
Pwn2Own, o competiție globală de hacking, îi provoacă pe cei mai buni cercetători în securitate să exploateze o gamă de dispozitive software și hardware, cu scopul final de a câștiga titlul prestigios de „Master of Pwn” și de a obține recompense de până la 1 milion de dolari.
În prima zi, participanții au descoperit 52 de vulnerabilități zero-day, iar în a doua zi s-au adăugat încă 51 zero-days.
Ieri, competiția a fost marcată de performanțe impresionante ale echipelor care au reprezentat Viettel Cyber Security, DEVCORE și PHP Hooligans/Midnight Blue, printre altele.
Ziua a început cu succes pentru Ha The Long și Ha Anh Hoang de la Viettel Cyber Security, care au exploatat NAS-ul QNAP TS-464 folosind o vulnerabilitate de injectare a comenzii. Acest atac reușit le-a adus 10.000 de dolari și 4 puncte Master of Pwn.
Pumpkin Chang și Orange Tsai de la echipa de cercetare DEVCORE au combinat trei exploatații – o injectare CRLF, o bypassare a autentificării și o injectare SQL – pentru a prelua controlul asupra Synology BeeStation. Exploatarea lor complexă i-a recompensat cu 20.000 de dolari și 4 puncte.
PHP Hooligans / Midnight Blue au folosit o scriere în afara limitelor și o eroare de corupție a memoriei pentru a realiza un „SOHO Smashup.” Au reușit să treacă de la routerul QNAP QHora-322 la o imprimantă Lexmark, tipărind în cele din urmă propriile lor „bancnote”, câștigând echipei 25.000 de dolari și 10 puncte Master of Pwn.
Mai târziu în zi, Viettel Cyber Security a obținut un alt succes, exploatând imprimanta Lexmark CX331adwe folosind o vulnerabilitate de confuzie de tip, adăugând 20.000 de dolari și încă 2 puncte la scorul lor.
Cu toate acestea, nu toate încercările de exploatare au decurs fără probleme, iar a treia zi a avut parte de coliziuni, în care mai multe echipe au folosit aceleași vulnerabilități pentru a compromite dispozitivele.
STEALIEN Inc. a reușit să compromită o cameră Lorex, dar bug-ul pe care l-au exploatat fusese deja utilizat, reducându-li-se plata la 3.750 de dolari și acordând doar 1,5 puncte.
Viettel Cyber Security s-a confruntat și ea cu o coliziune atunci când a exploatat o imprimantă Canon folosind o suprascriere a bufferului bazată pe stivă, care fusese demonstrată anterior. Acest lucru le-a adus 5.000 de dolari și 1 punct.
Viettel Cyber Security și ANHTUD au întâmpinat provocări atunci când timpul a expirat înainte să-și poată finaliza exploatarea, ambele echipe încercând să spargă Ubiquiti AI Bullet în timpul alocat.
Având doar 15 încercări rămase în program pentru Ziua 4, participanții au epuizat aproape complet fondul de premii, dar mai sunt disponibile peste 125.000 de dolari în premii de câștigat.
Pe măsură ce concursul își intră în faza finală, Viettel Cyber Security conduce confortabil în clasament, având de peste două ori mai multe puncte decât concurenții DEVCORE, Neodyme, Summoning Team și Ret2 Systems care au adunat până acum.
La finalul Zilei 3, evenimentul a dezvăluit 114 vulnerabilități zero-day, evidențiind rolul critic al unor astfel de competiții în întărirea securității dispozitivelor de consum.
Leave a Reply