Pwn2Own Ireland

Pwn2Ownアイルランドの初日、参加者はさまざまなデバイスで52のゼロデイ脆弱性を実証し、総額48万6250ドルの賞金を獲得した。

Viettel Cyber Securityは、”Master of Pwn “のタイトルを目指して13ポイントを獲得し、早々にリードを奪った。同チームのphudqとnamnpは、スタックベースのバッファオーバーフローの脆弱性を利用してLorex 2K WiFiカメラを悪用し、30,000ドルと3ポイントを獲得した。

Summoning TeamのSina Kheirkhahは、QNAP QHora-322ルーターからTrueNAS Mini Xデバイスに至る9つの脆弱性の連鎖でショーの主役となり、10万ドルの賞金と10ポイントのMaster of Pwnポイントを獲得した。

RET2 SystemsのJack Dates氏は、Sonos Era 300スマートスピーカーへの境界外(OOB)書き込みエクスプロイトに成功し、6万ドルと6ポイントを獲得しました。彼のエクスプロイトにより、デバイスを完全に制御できるようになった。

2番目のViettel Cyber Securityの試みは、4つの新しいバグを組み合わせて、QNAP QHora-322ルーターからTrueNAS Mini Xにピボットし、さらに50,000ドルと10ポイントを獲得した。

Pwn2Own初日のその他の注目すべき試みは以下の通りです:

  • チームNeodymeは、スタックベースのバッファオーバーフローを利用して、HP Color LaserJet Pro MFP 3301fdwプリンタを標的としました。彼らの成功は$20,000と2ポイントで報われた。
  • PHP Hooligans / Midnight Blueは、1つのバグを利用してCanon imageCLASS MF656CDwプリンタを悪用し、20,000ドルを獲得しました。
  • ANHTUDのExLuckは、QNAP TS-464 NASデバイスを悪用するために、不適切な証明書の検証やハードコードされた暗号キーなど、4つの新しいバグでリーダーボードに加わりました。この取り組みにより、$40,000と4 Master of Pwnポイントを獲得しました。
  • 監視部門では、Rapid7のRyan EmmonsとStephen Fewerが、引数区切りの不適切な無効化バグによってSynology DiskStation DS1823xs+の悪用に成功し、40,000ドルと4ポイントを獲得しました。

しかし、初日に課題や部分的な失敗がなかったわけではない。Summoning TeamはQNAP TS-464とSynology BeeStation BST150-4Tのエクスプロイトを時間内に実行するのに苦労し、SynacktivはLorex 2Kカメラのエクスプロイトでバグの衝突に見舞われ、11,250ドルの減額報酬を獲得しました。

Standings

いくつかの挫折はあったものの、Pwn2Own Ireland 2024の初日は、高額ハックとマッチング報酬で埋め尽くされた。

大会はあと3日残っており、参加者は100万ドルの賞金の一部を賭けて、プリンター、NASシステム、WiFiカメラ、ルーター、スマートスピーカー、携帯電話(サムスン・ギャラクシーS24)など、完全にパッチが適用されたSOHO機器に発見されたセキュリティ問題を悪用しようとする。