Noen dager siden Resultatene av nettsikkerhetskonkurranse "Pwn2Own Ireland 2024", som ble holdt fra 22. til 25. oktober. I løpet av disse fire dagene viste flere vellykkede angrep basert på zero day-sårbarheter som påvirket ulike enheter som smarttelefoner, NAS-systemer og IP-kameraer.
I løpet av de 4 dagene av arrangementet, Totalt ble det utført 38 angrep på den nyeste fastvaren og operativsystemene, som resulterte i ulike totale premier nær en million dollar, blant de mest bemerkelsesverdige angrepene som ble presentert i konkurransen, kan vi nevne følgende.
Under Den første dagen ble de fleste demonstrasjonene presentert av angrep og av dem var følgende de som oppnådde målet sitt:
- Lorex 2K: Fem vellykkede hacks, med bufferoverflyt og pekereferansesårbarheter. Premiene var $30,000, $15,000 og tre av $3,750.
- QNAP QTime-322: Seks hacks ble utført (2 på ruteren og 2 på NAS-en) ved bruk av autentisering, banegjennomgang og SQL-substitusjonsproblemer, med premier på opptil $100,000 XNUMX.
- Sonos Era 300: Tre vellykkede utnyttelser med bufferoverflyt og frigjorte minnesårbarheter, med premier på $60,000 30,000 og to på $XNUMX XNUMX.
- HP Color LaserJet Pro 3301fdw: To hacks, ved bruk av stackoverflyt og feilaktig typehåndteringssårbarhet, tjente $20,000 10,000 og $XNUMX XNUMX.
- Canon imageCLASS MF656Cdw: Tre stack overflow-baserte utnyttelser, med premier på $20,000, $10,000 og $5,000.
- QNAP TS-464 NAS: Fire vellykkede angrep var avhengige av sårbarheter som bruk av gjenværende kryptografiske nøkler i fastvare og problemer med sertifikatverifisering og SQL-kommandoerstatning. Premiene varierte fra $10,000 til $40,000.
- Synology TC500- De brukte en stabelbasert bufferoverflyt som vant en premie på $30,000 XNUMX.
- Ubiquity AI Bullet: Brukte en kombinasjon av feil i angrepskjeden for å utnytte og blinke lysene (i tillegg til å få et rotskall). Premien var $30,000.
- Synology DiskStation DS1823xs+: brukte et OOB-skript for å få et skall og en modifisert påloggingsside
Fra dag to og utover ble angrep på de samme enhetene presentert ved flere anledninger, men de samme typene angrep eller feil som ble vellykket utnyttet ble fortsatt belønnet:
- Samsung Galaxy S24: En utnyttelse som spenner over fem sårbarheter, inkludert et problem med banegjennomgang, for å skaffe et skall og installere et program i det, ble belønnet med $50,000 XNUMX.
- Sonos Era 300- Brukte en enkelt Use-After-Free (UAF)-feil for å utnytte høyttaleren, ble belønnet med $30,000 XNUMX.
- True Storage X NAS: Et enkelt angrep ble belønnet med $20,000.
- Synology BeeStation BST150-4T: Fire hacks som involverte autentiseringsomgåelse og kommandoerstatning fikk priser fra $10,000 40,000 til $XNUMX XNUMX.
- Synology DiskStation: De brukte en feil sertifikatvalideringsfeil for å utføre utnyttelsen. Premien var $20,000.
- AeoTec Smart Home Hub: Et hack basert på feil verifisering av kryptografisk signatur, med en belønning på $40,000 XNUMX.
Dia 3:
- QNAP QHora-322-skriver: De brukte en OOB-skriving og en minnekorrupsjonsfeil. Et annet angrep var basert på kombinasjonen av 4 feil, inkludert en kommandoinjeksjon og en rutegjennomgang. Premiene var $25,000.
- Lexmark CX331adwe: $20,000 XNUMX ble betalt for en utnyttelse som utnyttet en Type Confusion-sårbarhet.
- Synology BeeStation: En ubeskyttet hovedkanalfeil ble brukt til å utnytte og kjøre kode. Premien var $10,000.
Dia 4:
- Ekte NAS X: brukte to feil som allerede var presentert tidligere. Prisen som ble delt ut var $20,000.
- TrueNAS Mini To utnyttelsesfeil ble brukt. Premien var $20,000
- QNAP QTime-322: 6 feil ble brukt, selv om de allerede var sett i konkurransen. Likevel var premien $23,000.
Til slutt er det verdt å nevne det det var 16 mislykkede hackingforsøk på grunn av tidsbegrensninger, som påvirker enheter som Ubiquiti, Synology og Lorex sikkerhetskameraer, forskjellige skrivere og NAS, og Sonos Era 300-høyttaleren.
Angående informasjonen detaljert av disse sårbarhetene vil det bli avslørt etter 90 dager, som vil tillate produsenter å implementere patcher og sikre enhetene sine mot angrepene demonstrert i konkurransen.
Lur interessert i å vite mer om det, kan du sjekke detaljene i følgende lenke.