Pwn2Ownアイルランド2024の2日目、出場したホワイトハット・ハッカーたちは51のゼロデイ脆弱性を披露し、総額358,625ドルの賞金を獲得した。
Pwn2Ownはハッキング・コンテストで、セキュリティ研究者がソフトウェアやモバイル・ハードウェア・デバイスを悪用して「マスター・オブ・Pwn」の称号と賞金100万ドルを獲得することを競う。
Pwn2Ownの2日目、Viettel Cyber Securityチームは、いくつかのカテゴリーで傑出したパフォーマンスを披露し、「Master of Pwn」のタイトル争いで強力なリードを維持しました。
ANHTUDのPham Tuan SonとExLuckは、スタックベースのバッファオーバーフローを使用してCanon imageCLASS MF656Cdwプリンタを悪用し、1万ドルと2 Master of Pwnポイントを獲得しました。
NCC GroupのKen Gannon氏は、パス・トラバーサルを含む5つのバグを連鎖させてSamsung Galaxy S24を悪用し、5万ドルの賞金と5ポイントを獲得しました。彼のエクスプロイトによって、彼はアプリをインストールし、人気のあるAndroidデバイスにシェル・アクセスを得ることができた。
Viettel Cyber SecurityのDungdmは、Use-After-Free(UAF)の脆弱性を利用して、Sonos Era 300スマートスピーカーを制御しました。彼が成功させたエクスプロイトにより、彼のチームの収益は$30,000となり、Master of Pwnポイントが6ポイント加算されました。
Team CluckのChris AnastasioとFabius Watsonのコンビは、CRLFインジェクションを含む2つの脆弱性を連鎖させてQNAP TS-464 NASを侵害し、その過程で2万ドルと4ポイントを獲得しました。
Reverse TacticsのCorentin BAYETは、QNAP QHora-322ルーターを標的とした3つのバグのうちの1つが以前のラウンドからの繰り返しであったにもかかわらず、41,750ドルと8.5ポイントを獲得しました。
衝突と失敗
2日目もまた、いくつかのコリジョン(同じエクスプロイトが他の研究者によって使用されたことを意味する)が発生したほか、決められた時間内にデバイスをハックする試みが失敗に終わった。
Tenable 社と Synactiv 社は、それぞれ Lorex 2K デバイスと Synology BeeStation デバイスをハッキングした際に衝突が発生したため、減額と減点を受けました。
また、DEVCORE、Rapid7、Neodymeは、制限時間内にエクスプロイトを実行することが難しく、Sonos Era 300やLexmark CX331adweプリンタなどのデバイスで何度か失敗しました。
挫折にもかかわらず、Pwn2Ownコンペティションは依然として熾烈を極めており、まだ半分に達したばかりである。
この時点で、研究者は合計103件のゼロデイ脆弱性(初日で52件)を悪用し、賞金847,875ドルを獲得している。
Comments