Pwn2Own Austin 2021イベントでSonos、HP、Canonのデバイスがハッキング:362,500ドルの賞金獲得

Pwn2Own Austin 2021イベントの初日、出場者はこれまで知られていなかったセキュリティ上の欠陥を利用して、Canon、HP、Western Digital、Cisco、Sonos、TP-Link、NETGEARのプリンタ、ルーター、NASデバイス、スピーカーをハッキングし、362,500ドルを獲得しました。

https://www.zerodayinitiative.com/blog/2021/8/11/pwn2own-austin-2021-phones-printers-nas-and-more

Pwn2Ownコンテストは、初回の開始以来、コンシューマ機器に焦点を当ててきましたが、コンテスト自体は世界各地で開催されています。

2012年にアムステルダムで開催されたコンテストでは、携帯電話が対象で、翌年の東京では、PacSec Applied Security Conferenceとの同時開催となりました。

その後、テレビ、ウェアラブル、スマートスピーカーなどの参加者が増えていき、昨年のトロントは、NAS(Network Attached Storage)デバイスを含めるなど、コンテストの規模を拡大しました。

今年は、2021年11月2日から4日にかけて、テキサス州オースティンの本社でPwn2Ownを開催しました。今年のイベントでは、現在多くの人が置かれているホームオフィス環境を反映させるために、ルーター部門を拡大し、プリンター部門を導入しています。

合計で22台のデバイスがターゲットとなり、50万米ドル以上の賞金が提供されます。

Pwn2Own Austin(旧称:Pwn2Own Mobile)では、セキュリティ研究者が、携帯電話、プリンター、ルーター、ネットワーク接続ストレージ、スマートスピーカー、テレビ、外付けストレージなどのデバイスを対象に、すべて最新の状態でデフォルトの設定でチャレンジします。

唯一の例外は、Western Digital社の3TBのMy Cloud Home Personal Cloud NASデバイスで、これはまだベータ版のソフトウェアリリースを実行しているためです。

研究者が最高の賞金を獲得できるのは携帯電話部門で、最高15万ドルの賞金に加え、iPhoneやPixelのブラウザを悪用してカーネルレベルの特権で実行した場合には5万ドルのボーナスが加算され、1回のチャレンジでの最高賞金は合計20万ドルになります。

Pwn2Own Austinのコンシューマー向けイベントは、22人の参加者が登録し、合計58件のエントリーがあったため、4日間に延長されました。

オースティンで開催されたPwn2Ownの初日に最高の報酬を獲得したのは、DEVCORE社とTHEORI社のチームでした。

DEVCOREは、Sonos One SpeakerとCanon ImageCLASS MF644Cdw、HP Color LaserJet Pro MFP M283fdwのプリンターを乗っ取り、合計10万ドルを獲得しました。

THEORIチームは、Western Digital社のNASデバイス「My Cloud Pro Series PR4100」と「3TB My Cloud Home Personal Cloud」をハッキングし、さらに8万ドルを獲得しました。

Samsung Galaxy S21が唯一無傷で終了したデバイスでした。

コンテスト参加者は3日間にわたり、Webブラウザ、仮想化、サーバー、ローカルでの権限昇格、エンタープライズコミュニケーションの各カテゴリーの製品をターゲットとしたエクスプロイトやエクスプロイトチェーンで、過去最高の121万ドルを獲得しました。

コメントを残す

メールアドレスが公開されることはありません。