Престижне хакерське змагання Pwn2Own Ireland 2024 завершилося, продемонструвавши критичні проблеми в безпеці пристроїв Інтернету речей (IoT). Учасники заходу сумарно заробили рекордну суму в 1 066 625 доларів США, виявивши та успішно експлуатувавши понад 70 нових вразливостей у різноманітних IoT-пристроях.
Ключові результати змагання
Протягом чотириденного марафону дослідники продемонстрували працюючі експлойти для широкого спектру пристроїв, включаючи камери відеоспостереження, мережеві принтери, NAS-сховища, “розумні” колонки, смартфони та маршрутизатори. Особливу увагу привернула успішна атака на повністю оновлений смартфон Samsung Galaxy S24, за яку дослідники отримали 50 000 доларів. Цей факт підкреслює, що навіть новітні пристрої провідних виробників можуть містити критичні вразливості.
Динаміка виплат та найцікавіші експлойти
Розподіл призового фонду за днями змагання виглядав наступним чином:
- День 1: понад 500 000 доларів
- День 2: понад 350 000 доларів
- День 3: близько 150 000 доларів
- День 4: 73 000 доларів
Серед найбільш примітних досягнень – успішні атаки на маршрутизатор QNAP, принтери Canon і Lexmark, камеру Lorex, а також NAS-пристрої компаній TrueNAS, QNAP і Synology. Винагороди за ці експлойти варіювалися від 3 000 до 25 000 доларів.
Переможці та майбутні перспективи
Абсолютним чемпіоном Pwn2Own Ireland 2024 стала команда Viettel Cyber Security, яка набрала 33 бали і отримала титул “Master of Pwn”. Їхні успішні атаки на QNAP NAS, колонку Sonos і принтери Lexmark принесли команді 205 000 доларів.
Анонс наступного змагання
Організатори заходу, Trend Micro Zero Day Initiative (ZDI), вже анонсували наступне змагання Pwn2Own, яке відбудеться 22 січня 2025 року в Токіо. Воно буде присвячене автомобільній промисловості та включатиме чотири категорії: Tesla, автомобільні інформаційно-розважальні системи, зарядні пристрої для електромобілів та операційні системи.
Висновки та рекомендації щодо кібербезпеки IoT
Результати Pwn2Own Ireland 2024 демонструють зростаючу загрозу для пристроїв Інтернету речей і підкреслюють необхідність посилення заходів кібербезпеки в цій галузі. Виробникам IoT-пристроїв слід приділяти більше уваги безпеці своїх продуктів, впроваджуючи принципи безпеки на етапі проектування та регулярно випускаючи оновлення для усунення виявлених вразливостей. Користувачам рекомендується регулярно оновлювати програмне забезпечення своїх пристроїв, використовувати складні паролі та двофакторну автентифікацію, а також обмежувати доступ пристроїв до мережі, коли це можливо. Лише комплексний підхід до кібербезпеки дозволить мінімізувати ризики в епоху повсюдного поширення розумних пристроїв.
