Pwn2Own Ireland 2024 第四天黑客竞赛结束,这场黑客大赛旨在让安全研究人员与各种软件和硬件产品进行对抗,试图通过破坏八个类别的目标来赢得“破解大师”的称号,这些目标包括手机、消息应用程序、家庭自动化、智能扬声器、打印机、监控系统、网络附加存储 (NAS) 和 SOHO Smash-up。
本届 Pwn2Own 是白帽黑客连续第四次突破百万美元奖金大关,总共赢得了 1,066,625 美元。
在比赛的最后一天,安全研究人员成功利用了 Lexmark、True NAS 和 QNAP 的设备:
·Team Smoking Barrels 利用了 TrueNAS X 中的两个漏洞。尽管其中一个漏洞之前已在比赛中使用过,但该团队仍然赢得了 20,000 美元和 2 个 Pwn 大师积分。
·Team Cluck 利用六个漏洞从 QNAP QHora-322 迁移到 Lexmark CX331adwe。其中一个缺陷已被利用,但他们因成功利用而获得了 23,000 美元和 Pwn 大师积分。
·Viettel Cyber Security 利用两个漏洞使用了 TrueNAS Mini X。他们的链条也依赖于之前在比赛中发现的一个错误,但他们的演示获得了 20,000 美元和 2 个 Pwn 大师积分的奖励。
·PHP Hooligans / Midnight Blue 利用整数溢出漏洞攻击 Lexmark 打印机,赢得了 10,000 美元和 2 个 Pwn 大师积分。
Viettel Cyber Security 因总共获得 33 个 Pwn 大师积分而荣获“Pwn 大师”奖。他们因 QNAP NAS、Sonos 扬声器和 Lexmark 打印机中出现的缺陷而获得了 205,000 美元的赔偿。
Pwn2Own 爱尔兰 2024 年最终排名
下一次 Pwn2Own 活动定于 2025 年 1 月 22 日在日本东京举行。该活动重点关注汽车行业,分为四个类别供参与者:特斯拉、车载信息娱乐系统 (IVI)、电动汽车充电器和操作系统。零日计划 (ZDI) 已发布有关成功利用的类别和奖金的详细信息。
参考及来源:https://www.bleepingcomputer.com/news/security/over-70-zero-day-flaws-get-hackers-1-million-at-pwn2own-ireland/