Pwn2own Ireland 2024'ün üçüncü günü, 11 sıfır günlük güvenlik açıklarına maruz kaldıklarında White Hat hackerlarının uzmanlığını sergilemeye devam etti ve şu anda 874.875 dolar olan toplam ödül havuzuna 124.750 dolar ekledi.
Küresel bir hack yarışması olan PWN2OWN, en iyi güvenlik araştırmacılarına prestijli "PWN Master" unvanını kazanmak ve 1 milyon dolara kadar ödül talep etmek amacıyla bir dizi yazılım ve donanım cihazından yararlanmaya zorluyor.
1. günde katılımcılar 52 sıfır gün güvenlik açığını ortaya çıkardılar ve 2. günde 51 sıfır gün daha eklendi.
Dün, yarışma Viettel Cyber Security, Devcore ve PHP Hooligans/Midnight Blue'yu temsil eden ekiplerden etkileyici performanslar gördü.
Gün, tek bir komut enjeksiyon güvenlik açığı kullanarak QNAP TS-464 NAS'tan yararlanan Viettel Cyber Security'den uzun ve Ha Anh Hoang'ın başarı ile başladı. Bu başarılı saldırı onlara 10.000 dolar ve 4 Master PWN puanı kazandı.
Devcore araştırma ekibinden kabak Chang ve Orange Tsai, sinoloji beestasyonunun kontrolünü ele geçirmek için üç istismar - bir CRLF enjeksiyonu, bir kimlik doğrulama baypası ve bir SQL enjeksiyonu gibi birleştirdi. Karmaşık istismarları onları 20.000 dolar ve 4 puanla ödüllendirdi.
PHP Hooligans / Midnight Blue, "Soho Smashp" yapmak için sınır dışı bir yazı ve hafıza yolsuzluk hatası kullandı. QNAP QHORA-322 yönlendiricisinden bir Lexmark yazıcısına gitmeyi başardılar ve sonuçta kendi "banknotlarını" yazdırdılar ve takımı 25.000 dolar ve 10 Master PWN puanı kazandı.
Günün ilerleyen saatlerinde Viettel Cyber Security, Lexmark CX331ADWE yazıcısını bir tür karışıklık güvenlik açığı kullanarak sömürerek, taksitlerine 20.000 ve 2 puan daha ekleyerek başka bir başarı sağladı.
Bununla birlikte, tüm istismar girişimleri sorunsuz gitmedi ve üçüncü gün, birden fazla ekibin cihazları uzlaştırmak için aynı güvenlik açıklarını kullandığı çarpışmalardan payına sahipti.
Stealien Inc. bir lorex kamera başarıyla tehlikeye attı, ancak kaldırdıkları hata zaten kullanılmıştı, ödemelerini 3.750 dolara düşürdü ve sadece 1,5 puan verdi.
Viettel Siber Güvenliği, daha önce gösterilmiş olan yığın tabanlı bir tampon taşması kullanarak bir kanon yazıcısını kullandıklarında bir çarpışmayla karşılaştı. Bu onlara 5.000 dolar ve 1 puan kazandı.
Viettel siber güvenlik ve Anhtud, her ikisi de tahsis edilen süre içinde ubiquiti ai mermisini ihlal etmeye çalışırken, istismarlarını tamamlamadan önce zaman tükendiğinde zorluklarla karşılaştı.
4. Gün için sadece 15 deneme süresi ile katılımcılar neredeyse ödül havuzunu tükettiler, ancak hala kapmak için 125.000 doların üzerinde ödüller var.
Yarışma son aşamasına girdikçe, Viettel Cyber Güvenlik, DeVcore, Neodyne, Summoning Team ve RET2 sistemlerinin şimdiye kadar toplandığı puan yarışmacılarının iki katından fazla bir süredir sıralamada rahatça liderlik ediyor.
3. günün sonunda, etkinlikte 114 sıfır günlük güvenlik açıkını ortaya çıkardı ve bu tür yarışmaların tüketici cihazlarının güvenliğini güçlendirmedeki kritik rolünü sergiledi.
70'den fazla sıfır gün kusuru bilgisayar korsanlarına Pwn2own İrlanda'da 1 milyon dolar alıyor
Samsung Galaxy S24 ve Sonos Era, PWN2OWN İrlanda 2. Günü'nde hacklendi
Bilgisayar korsanları Pwn2own İrlanda'nın ilk gününde 52 sıfır gün istismar
Fortinet, sıfır gün saldırılarında kullanılan yeni eleştirel fortimanager kusurunu uyarıyor
Google: 2023'te açıklanan sömürülen kusurların% 70'i sıfır gündü
Kaynak: Bleeping Computer