Престижное хакерское соревнование Pwn2Own впервые проходит в Ирландии, привлекая внимание экспертов по кибербезопасности со всего мира. Первый день мероприятия ознаменовался впечатляющими результатами: участники продемонстрировали более 50 уязвимостей нулевого дня (0-day) в различных IoT-устройствах, заработав в общей сложности 500 000 долларов США.
Ключевые достижения первого дня Pwn2Own Ireland
Наиболее значительное вознаграждение в размере 100 000 долларов США получила команда Summoning Team. Эксперты успешно скомбинировали девять уязвимостей нулевого дня, что позволило им сначала атаковать маршрутизатор QNAP QHora-322, а затем скомпрометировать NAS-устройство TrueNAS Mini X. Эта демонстрация подчеркивает потенциальную опасность цепочек уязвимостей в сетевой инфраструктуре.
Команда Viettel Cyber Security также продемонстрировала впечатляющие результаты, заработав 50 000 долларов за аналогичную атаку на продукты QNAP и TrueNAS. Благодаря успешным демонстрациям в других категориях, Viettel Cyber Security заняла лидирующую позицию по количеству очков Master of Pwn в первый день соревнований.
Уязвимости в популярных IoT-устройствах
Джек Дейтс из RET2 Systems получил 60 000 долларов за успешный взлом умной колонки Sonos Era 300, продемонстрировав возможность полного контроля над устройством. Этот инцидент подчеркивает важность обеспечения безопасности умных домашних устройств, которые становятся все более распространенными.
Участники также продемонстрировали работающие эксплоиты для различных IoT-устройств:
- Камеры: Lorex 2K WiFi, Ubiquity AI Bullet и Synology TC500
- Принтеры: HP Color LaserJet Pro MFP 3301fdw и Canon imageCLASS MF656Cdw
Вознаграждения за эти атаки варьировались от 11 000 до 30 000 долларов США, что отражает серьезность выявленных уязвимостей.
Дальнейшие перспективы Pwn2Own Ireland
В последующие дни соревнования участники попытаются взломать дополнительные устройства, включая смартфон Samsung Galaxy S24 и хаб AeoTec Smart Home. Особый интерес представляет новая категория мессенджеров, где за работающий zero-click эксплоит для WhatsApp предлагается вознаграждение до 300 000 долларов США.
Хотя организаторы предложили значительные суммы (до 250 000 долларов) за эксплоиты для Pixel 8 и iPhone 15, на момент начала соревнований не было подано ни одной заявки в этой категории. Это может свидетельствовать о высоком уровне безопасности современных смартфонов или о сложности разработки эксплоитов для этих устройств.
Pwn2Own Ireland 2024 демонстрирует критическую важность непрерывного тестирования и совершенствования безопасности IoT-устройств. Выявленные уязвимости позволят производителям улучшить защиту своих продуктов, а пользователям — осознать необходимость регулярного обновления прошивок и соблюдения базовых правил кибербезопасности. Результаты соревнования подчеркивают, что в эпоху повсеместного распространения умных устройств, обеспечение их безопасности становится ключевым фактором защиты личных данных и инфраструктуры.