Pwn2Own トロント 2022 は、競合他社が 12 月 6 日から 12 月 9 日までの間に消費者向け製品を標的とした 63 件のゼロデイ エクスプロイト (および複数のバグ衝突) で 989,750 ドルを獲得して終了しました。
このハッキング コンテストでは、26 のチームとセキュリティ研究者が、携帯電話、ホーム オートメーション ハブ、プリンター、ワイヤレス ルーター、ネットワーク接続型ストレージ、スマート スピーカーのカテゴリのデバイスを標的にしました。これらはすべて最新であり、既定の構成になっています。
Apple iPhone 13 と Google Pixel 6 スマートフォンのハッキングに参加したチームはありませんでしたが、参加者は完全にパッチが適用された Samsung Galaxy S22 を 4 回ハッキングしました。
STAR Labs チームは、3 回目の試行で不適切な入力検証攻撃を実行することにより、Samsung の主力デバイスでゼロデイを悪用した最初のチームであり、50,000 ドルと 5 Master of Pwn ポイントを獲得しました。
Chim として知られる別の参加者は、コンテストの初日に、Samsung Galaxy S22 を標的とした別の成功したエクスプロイトのデモを行いました。
Interrupt Labs と Pentest Limited のセキュリティ研究者も、コンテストの2 日目と 3 日目にGalaxy S22 をハッキングし、Pentest Limited はわずか 55 秒でゼロデイ エクスプロイトを実証しました。
Pwn2Own トロント 2022 は、コンペティションの 4 日目の本日終了し、出場者は複数のカテゴリにわたる 63 のゼロデイ エクスプロイトに対して 989,750 ドルを獲得しました。
#Pwn2Ownトロント 2022 の最終的な数字:
$989,750 が授与されました
63 の一意の 0 日
66 エントリ
14か国以上を代表する36チーム2 月に#Pwn2Ownマイアミでお会いしましょう!
— ゼロデイ イニシアチブ (@thezdi) 2022 年 12 月 9 日
コンテストを通じて、ハッカーは、Canon、HP、Mikrotik、NETGEAR、Sonos、TP-Link、Lexmark、Synology、Ubiquiti、Western Digital、Mikrotik、HP など、複数のベンダーのデバイスのゼロデイ バグを標的とするエクスプロイトのデモに成功しました。
大会の完全なスケジュールはこちらで、Pwn2Own トロント 2022 の各日のプログラムと結果はこちらで確認できます。
Pwn2Own イベントで悪用されたゼロデイ脆弱性が報告された後、ベンダーは、ZDI が公開する前にパッチをリリースするために 120 日間与えられます。
DEVCORE チームはコンテストで優勝し、$142,500 と 18.5 Master of Pwn ポイントを獲得しました。リーダーボードでは、Team Viettel が $82,500 で 16.5 ポイント、NCC Group EDG が $78.750 で 15.5 ポイントが続きます。
Comments