Pwn2Ownアイルランドの初日、参加者はさまざまなデバイスで52のゼロデイ脆弱性を実証し、総額48万6250ドルの賞金を獲得した。
Viettel Cyber Securityは、”Master of Pwn “のタイトルを目指して13ポイントを獲得し、早々にリードを奪った。同チームのphudqとnamnpは、スタックベースのバッファオーバーフローの脆弱性を利用してLorex 2K WiFiカメラを悪用し、30,000ドルと3ポイントを獲得した。
Summoning TeamのSina Kheirkhahは、QNAP QHora-322ルーターからTrueNAS Mini Xデバイスに至る9つの脆弱性の連鎖でショーの主役となり、10万ドルの賞金と10ポイントのMaster of Pwnポイントを獲得した。
RET2 SystemsのJack Dates氏は、Sonos Era 300スマートスピーカーへの境界外(OOB)書き込みエクスプロイトに成功し、6万ドルと6ポイントを獲得しました。彼のエクスプロイトにより、デバイスを完全に制御できるようになった。
2番目のViettel Cyber Securityの試みは、4つの新しいバグを組み合わせて、QNAP QHora-322ルーターからTrueNAS Mini Xにピボットし、さらに50,000ドルと10ポイントを獲得した。
Pwn2Own初日のその他の注目すべき試みは以下の通りです:
- チームNeodymeは、スタックベースのバッファオーバーフローを利用して、HP Color LaserJet Pro MFP 3301fdwプリンタを標的としました。彼らの成功は$20,000と2ポイントで報われた。
- PHP Hooligans / Midnight Blueは、1つのバグを利用してCanon imageCLASS MF656CDwプリンタを悪用し、20,000ドルを獲得しました。
- ANHTUDのExLuckは、QNAP TS-464 NASデバイスを悪用するために、不適切な証明書の検証やハードコードされた暗号キーなど、4つの新しいバグでリーダーボードに加わりました。この取り組みにより、$40,000と4 Master of Pwnポイントを獲得しました。
- 監視部門では、Rapid7のRyan EmmonsとStephen Fewerが、引数区切りの不適切な無効化バグによってSynology DiskStation DS1823xs+の悪用に成功し、40,000ドルと4ポイントを獲得しました。
しかし、初日に課題や部分的な失敗がなかったわけではない。Summoning TeamはQNAP TS-464とSynology BeeStation BST150-4Tのエクスプロイトを時間内に実行するのに苦労し、SynacktivはLorex 2Kカメラのエクスプロイトでバグの衝突に見舞われ、11,250ドルの減額報酬を獲得しました。
いくつかの挫折はあったものの、Pwn2Own Ireland 2024の初日は、高額ハックとマッチング報酬で埋め尽くされた。
大会はあと3日残っており、参加者は100万ドルの賞金の一部を賭けて、プリンター、NASシステム、WiFiカメラ、ルーター、スマートスピーカー、携帯電話(サムスン・ギャラクシーS24)など、完全にパッチが適用されたSOHO機器に発見されたセキュリティ問題を悪用しようとする。
Comments