En el primer día de Pwn2Own Ireland, los participantes demostraron 52 vulnerabilidades de día cero en una variedad de dispositivos, ganando un total de $486,250 en premios en efectivo.
Viettel Cyber Security tomó una ventaja temprana al obtener 13 puntos en su persecución por el título de “Master of Pwn”. El phudq y el namnp del equipo explotaron una cámara WiFi Lorex 2K a través de una vulnerabilidad de desbordamiento de búfer basada en pila y obtuvieron $30,000 y 3 puntos.
Sina Kheirkhah de Summoning Team robó el programa con una cadena de nueve vulnerabilidades para pasar del enrutador QNAP QHora-322 al dispositivo TrueNAS Mini X, que trajo un pago de $100,000 y 10 puntos Master of Pwn.
Jack Dates de RET2 Systems siguió con un exitoso exploit de escritura fuera de límites (OOB) en el altavoz inteligente Sonos Era 300, asegurando $60,000 y 6 puntos. Su exploit permitió el control total sobre el dispositivo.
Un segundo intento de Viettel Cyber Security combinó cuatro nuevos errores para pasar del enrutador QNAP QHora-322 al TrueNAS Mini X, lo que les valió otros $50,000 y 10 puntos.
Otros intentos notables de Pwn2Own día uno incluyen:
- El equipo Neodyme aprovechó un desbordamiento de búfer basado en pila para apuntar a la impresora HP Color LaserJet Pro MFP 3301fdw. Su éxito fue recompensado con $20,000 y 2 puntos.
- PHP Hooligans / Midnight Blue obtuvo $20,000 por explotar una impresora Canon imageCLASS MF656Cdw usando un solo error.
- ExLuck de ANHTUD se unió a la tabla de clasificación con cuatro nuevos errores, incluida la verificación incorrecta del certificado y una clave criptográfica codificada, para explotar el dispositivo NAS TS-464 de QNAP. Este esfuerzo ganó $40,000 y 4 puntos Master of Pwn.
- En el frente de la vigilancia, Ryan Emmons y Stephen Fewer de Rapid7 explotaron con éxito Synology DiskStation DS1823xs+ a través de una neutralización incorrecta del error de delimitadores de argumentos, ganando $40,000 y 4 puntos.
Sin embargo, el primer día no estuvo exento de desafíos y fracasos parciales. El equipo de invocación tuvo problemas para ejecutar sus exploits QNAP TS-464 y Synology BeeStation BST150-4T a tiempo, mientras que Synacktiv experimentó una colisión de errores en su exploit de cámara Lorex 2K, obteniendo un pago reducido de $11,250.
A pesar de algunos contratiempos, el primer día de Pwn2Own Irlanda 2024 estaba lleno de hacks de alto riesgo y recompensas coincidentes.
Hay tres días más dejados en la competencia y los participantes intentarán explotar los problemas de seguridad que se encuentran en los dispositivos SOHO completamente parcheados, incluidas impresoras, sistemas NAS, cámaras WiFi, enrutadores, altavoces inteligentes, teléfonos móviles (Samsung Galaxy S24), por una parte del premio de la piscina $1 millón.
Fuente: bleepingcomputer.com