Това са резултатите от Pwn2Own Ireland 2024

Darkcrizt

4 Minutos

Pwn2Own Ирландия 2024 г

Преди няколко дни Резултатите от състезание по киберсигурност „Pwn2Own Ирландия 2024“, който се проведе от 22 до 25 октомври. През тези четири дни показа множество успешни атаки въз основа на уязвимости от нулевия ден, които са засегнали различни устройства като смартфони, NAS системи и IP камери.

През 4-те дни на събитието, Извършени са общо 38 нападения на най-новия фърмуер и операционни системи, което доведе до различни общи награди близо до милион долара, сред най-забележителните атаки, които бяха представени в състезанието, можем да споменем следното.

По време на През първия ден бяха представени повечето демонстрации атаки и от тях следните бяха тези, които успешно постигнаха целта си:

  • Лорекс 2К: Пет успешни хака с уязвимости при препълване на буфера и деименуване на указател. Наградите бяха $30,000 15,000, $3,750 XNUMX и три от $XNUMX.
  • QNAP QTime-322: Бяха извършени шест хака (2 на рутера и 2 на NAS), използвайки проблеми с удостоверяване, преминаване на пътя и заместване на SQL, с награди до $100,000 XNUMX.
  • Sonos Era 300: Три успешни експлойта, използващи препълване на буфера и освобождаване на уязвимости в паметта, с награди от $60,000 30,000 и две от $XNUMX XNUMX.
  • HP Color LaserJet Pro 3301fdw: Два хака, използващи препълване на стека и уязвимости при обработка на неправилен тип, спечелиха $20,000 10,000 и $XNUMX XNUMX.
  • Canon ImageClass MF656CDW: Три експлойта, базирани на препълване на стека, с награди от $20,000 10,000, $5,000 XNUMX и $XNUMX XNUMX.
  • QNAP TS-464 NAS: Четири успешни атаки разчитаха на уязвимости като използването на остатъчни криптографски ключове във фърмуера и проблеми с проверката на сертификата и подмяната на SQL команда. Наградите варираха от $10,000 40,000 до $XNUMX XNUMX.
  • Synology TC500- Те използваха базирано на стек буферно препълване, което спечели награда от $30,000 XNUMX.
  • Ubiquity AI Bullet: Използва комбинация от бъгове в своята верига за атака, за да използва и мига светлините (както и да получи коренна обвивка). Наградата беше 30,000 XNUMX долара.
  • Synology DiskStation DS1823xs+: използва OOB скрипт, за да получи обвивка и модифицирана страница за вход

От втория ден нататък атаките срещу едни и същи устройства бяха представени няколко пъти, но същите видове атаки или грешки, които бяха успешно използвани, все още бяха възнаградени:

  • Samsung Galaxy S24: Експлойт, обхващащ пет уязвимости, включително проблем с преминаването на пътя, за получаване на обвивка и инсталиране на приложение в нея, беше възнаграден с $50,000 XNUMX.
  • Sonos Era 300- Използва един бъг Use-After-Free (UAF) за експлоатиране на високоговорителя, беше възнаграден с $30,000 XNUMX.
  • True Storage X NAS: Една атака беше възнаградена с $20,000 XNUMX.
  • Synology BeeStation BST150-4T: Четири хака, включващи байпас на удостоверяване и заместване на команди, спечелиха награди, вариращи от $10,000 40,000 до $XNUMX XNUMX.
  • Synology DiskStation: Те са използвали грешка при валидиране на неправилен сертификат, за да изпълнят експлойта. Наградата беше 20,000 XNUMX долара.
  • AeoTec Smart Home Hub: Хак, базиран на неправилна проверка на криптографски подпис, с награда от $40,000 XNUMX.

Ден 3:

  • Принтер QNAP QHora-322: Те са използвали OOB запис и грешка при повреда на паметта. Друга атака се основава на комбинацията от 4 грешки, включително инжектиране на команда и преминаване на маршрут. Наградите бяха 25,000 XNUMX долара.
  • Lexmark CX331adwe: $20,000 XNUMX бяха платени за експлойт, който експлоатира уязвимост на Type Confusion.
  • Synology BeeStation: Използван е незащитен бъг в главния канал за експлоатиране и изпълнение на код. Наградата беше 10,000 XNUMX долара.

Ден 4:

  • Истински NAS X: използва две грешки, които вече бяха представени по-рано. Присъдената награда беше 20,000 XNUMX долара.
  • TrueNAS Mini Използвани са две експлоатационни грешки. Наградата беше 20,000 XNUMX долара
  •  QNAP QTime-322: Бяха използвани 6 грешки, въпреки че вече бяха забелязани в състезанието. Въпреки това наградата беше 23,000 XNUMX долара.

Накрая си струва да споменем това имаше 16 неуспешни опита за хакване поради времеви ограничения, засягащи устройства като камери за сигурност Ubiquiti, Synology и Lorex, различни принтери и NAS и високоговорителя Sonos Era 300.

Относно информацията подробно от тези уязвимости ще бъде разкрит след 90 дни, което ще позволи на производителите да прилагат пачове и да защитят своите устройства срещу атаките, демонстрирани в състезанието.

Ако сте заинтересовани да научите повече за това, можете да проверите подробностите в следваща връзка.


Оставете вашия коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

*

*

  1. Отговорен за данните: Мигел Анхел Гатон
  2. Предназначение на данните: Контрол на СПАМ, управление на коментари.
  3. Легитимация: Вашето съгласие
  4. Съобщаване на данните: Данните няма да бъдат съобщени на трети страни, освен по законово задължение.
  5. Съхранение на данни: База данни, хоствана от Occentus Networks (ЕС)
  6. Права: По всяко време можете да ограничите, възстановите и изтриете информацията си.