In prima zi a competiției Pwn2Own Ireland 2025, cercetătorii în securitate au exploatat 34 de zero-days unice și au câștigat 522.500 de dolari în premii în bani.
Momentul culminant al zilei a fost atunci când Bongeun Koo și Evangelos Daravigkas din echipa DDOS au folosit opt vulnerabilități zero-day pentru a sparge routerul wireless Ethernet QNAP Qhora-322 prin interfața WAN și pentru a obține acces la un dispozitiv NAS QNAP TS-453E. Pentru această reușită, au câștigat 100.000 de dolari și se află acum pe locul al doilea în clasamentul Master of Pwn cu 8 puncte.
Echipele Synacktiv, Sina Kheirkhah din echipa Summoning, echipa DEVCORE și Stephen Fewer de la Rapid7 au câștigat, de asemenea, câte 40.000 de dolari fiecare după ce au obținut acces de tip root la dispozitivele Synology BeeStation Plus, Synology DiskStation DS925+, QNAP TS-453E și Home Assistant Green, respectiv.
Echipele STARLabs, PetoWorks, ANHTUD și cercetătorii de la Ierae au spart de patru ori imprimanta laser multifuncțională Canon imageCLASS MF654Cdw, în timp ce STARLabs a mai spart și difuzorul inteligent Sonos Era 300 pentru a câștiga 50.000 de dolari, iar echipa ANHTUD a exploatat Philips Hue Bridge pentru a obține 40.000 de dolari în bani.
Sina Kheirkhah și McCaulay Hudson din echipa Summoning au utilizat o serie de două zero-days pentru a obține acces de tip root la un aparat Synology ActiveProtect Appliance DP320 și pentru a câștiga încă 50.000 de dolari.
Echipa Summoning a câștigat în total 102.500 de dolari în prima zi a competiției și se află în fruntea clasamentului Master of Pwn cu 11,5 puncte.
Zero Day Initiative (ZDI) organizează evenimentul pentru identificarea vulnerabilităților de securitate din dispozitivele vizate înainte ca actorii rău intenționați să le exploateze, coordonând divulgarea responsabilă cu vendorii afectați. După ce vulnerabilitățile zero-day sunt exploatate în cadrul evenimentelor Pwn2Own, vendorii au la dispoziție 90 de zile pentru a lansa actualizări de securitate înainte ca Zero Day Initiative a Trend Micro să le facă publice.
Competiția de hacking Pwn2Own Ireland 2025 include opt categorii care vizează smartphone-urile de top (Apple iPhone 16, Samsung Galaxy S25 și Google Pixel 9), aplicațiile de mesagerie, dispozitivele smart home, imprimantele, echipamentele de rețea pentru acasă, sistemele de stocare în rețea, echipamentele de supraveghere și tehnologia purtabilă (inclusiv ochelarii inteligenți Ray-Ban ai Meta și căștile Quest 3/3S).
Anul acesta, ZDI a extins de asemenea vectorii de atac pentru categoria de mobil pentru a include exploatarea portului USB pentru telefoanele mobile, ceea ce necesită ca participanții să spargă telefoane blocate prin conexiuni fizice. Cu toate acestea, protocoalele wireless tradiționale precum Bluetooth, Wi-Fi și comunicarea apropiată (NFC) rămân vectori de atac valizi.
În a doua zi, cercetătorii în securitate vor viza din nou dispozitivele din categoriile de stocare în rețea, imprimante, smart home și sisteme de supraveghere, precum și Samsung Galaxy S25 în categoria telefoanelor mobile.
Cum s-a anunțat în august, aceasta este și prima dată când ZDI va oferi o recompensă de 1 milion de dolari cercetătorilor în securitate care demonstrează o exploatare zero-click a WhatsApp care permite execuția de cod fără interacțiunea utilizatorului.
Meta, alături de QNAP și Synology, este co-sponsor al concursului de hacking Pwn2Own Ireland 2025, care are loc în perioada 21-24 octombrie în Cork, Irlanda.
În cadrul evenimentului Pwn2Own Ireland de anul trecut, cercetătorii în securitate au câștigat 1.078.750 de dolari pentru peste 70 de vulnerabilități zero-day, cu Viettel Cyber Security colectând 205.000 de dolari pentru problemele de securitate descoperite la QNAP, Sonos și Lexmark.
În ianuarie 2026, ZDI se va întoarce la expoziția Automotive World din Tokyo pentru a treia ediție a concursului Pwn2Own Automotive, cu Tesla revenind ca sponsor.
46% dintre mediile de lucru au avut parolele sparte, aproape dublu față de 25% anul trecut.
Obțineți acum Raportul Picus Blue 2025 pentru o privire cuprinzătoare asupra altor constatări legate de prevenire, detecție și tendințe de exfiltrare a datelor.
Concursul de hacking Zeroday Cloud oferă 4,5 milioane de dolari în recompense
CISA confirmă că hackerii au exploatat o vulnerabilitate SSRF în Oracle E-Business Suite
Oracle a remediat în secret o exploatare zero-day dezvăluită de ShinyHunters
Subsidiara American Airlines, Envoy, confirmă un atac de furt de date asupra Oracle
Adobe emite remedieri de urgență pentru vulnerabilitățile AEM Forms zero-day după lansarea PoC-urilor
Leave a Reply