Pwn2Ownアイルランド2024の4日目は、完全にパッチが適用されたデバイスに存在する70以上のユニークなゼロデイ脆弱性に対して100万ドル以上の賞金が授与され、ハッキングコンテストの幕を閉じた。
このハッキング・コンテストでは、セキュリティ研究者がさまざまなソフトウェアやハードウェア製品と対戦し、携帯電話、メッセージング・アプリ、ホームオートメーション、スマートスピーカーから、プリンター、監視システム、ネットワーク接続ストレージ(NAS)、SOHOスマッシュアップまで、8つのカテゴリーでターゲットを危険にさらし、「Master of Pwn」の称号を得ようとする。
今回のPwn2Ownは、ホワイトハット・ハッカーが4回連続で賞金100万ドルの大台を超え、総額106万6625ドルを獲得した。
大会最終日、セキュリティ研究者たちはLexmark、True NAS、QNAPのデバイスを悪用することに成功した:
- Team Smoking Barrelsは、TrueNAS Xの2つの脆弱性を悪用しました。バグの1つは以前にコンテストで使用されたものでしたが、それでもチームは2万ドルとMaster of Pwnポイント2ポイントを獲得しました。
- Team Cluckは6つの脆弱性の連鎖を利用し、QNAP QHora-322からLexmark CX331adweに移行しました。脆弱性の1つはすでに使用されていましたが、彼らは23,000ドルとMaster of Pwnポイントを獲得しました。
- Viettel Cyber Securityは、TrueNAS Mini Xを標的とし、2つのバグを悪用しました。彼らのチェーンもまた、以前コンペティションで見られたバグに依存していましたが、彼らのデモは20,000ドルとMaster of Pwnポイント2ポイントで報われました。
- PHP Hooligans / Midnight Blueは、整数オーバーフローの脆弱性を利用し、Lexmarkのプリンタを悪用し、$10,000と2 Master of Pwnポイントを獲得しました。
Viettel Cyber Securityは、合計33のMaster of Pwnポイントを獲得し、”Master of Pwn “賞を受賞しました。彼らはQNAP NAS、Sonosスピーカー、Lexmarkプリンターで実証された欠陥により、205,000ドルを獲得しました。
出典:ZeroDay Initiative:ゼロデイ・イニシアティブ
次回のPwn2Ownイベントは2025年1月22日に予定されており、日本の東京で開催される。
このイベントは自動車業界に焦点を当て、参加者には4つのカテゴリーが用意されている:テスラ、車載インフォテインメント(IVI)、電気自動車用充電器、オペレーティング・システムの4つのカテゴリーがある。
Zero Day Initiative(ZDI)は、各カテゴリーの詳細と、悪用に成功した場合の賞金について発表した。コンテストのルールはこちら。
Comments