O quarto dia do Pwn2Own Irlanda 2024 marcou o encerramento da competição de hacking com mais de US$ 1 milhão em prêmios distribuídos para mais de 70 vulnerabilidades zero-day descobertas em dispositivos totalmente atualizados.
O concurso de hacking coloca pesquisadores de segurança à prova, desafiando-os a explorar produtos de software e hardware para conquistar o título de "Master of Pwn". Os alvos da competição são divididos em oito categorias, que vão desde celulares, aplicativos de mensagens e dispositivos de automação residencial até impressoras, sistemas de vigilância, armazenamento conectado em rede (NAS) e redes domésticas.
Esta edição do Pwn2Own foi a quarta consecutiva a superar a marca de um milhão de dólares em prêmios, com um total de US$ 1.066.625 distribuídos.
No último dia do evento, os pesquisadores de segurança conseguiram explorar dispositivos de empresas como Lexmark, TrueNAS e QNAP:
Equipe Smoking Barrels explorou duas vulnerabilidades no TrueNAS X. Embora uma delas já tivesse sido utilizada na competição, a equipe ainda assim garantiu um prêmio de US$ 20.000 e 2 pontos de Master of Pwn.
Equipe Cluck utilizou uma cadeia de seis vulnerabilidades para atacar o QNAP QHora-322 e o Lexmark CX331adwe. Uma das falhas já havia sido usada anteriormente, mas a equipe recebeu US$ 23.000 e pontos de Master of Pwn pela exploração bem-sucedida.
Viettel Cyber Security atacou o TrueNAS Mini X com um exploit de duas falhas. Embora também tenha utilizado uma vulnerabilidade previamente explorada na competição, sua demonstração foi recompensada com US$ 20.000 e 2 pontos de Master of Pwn.
PHP Hooligans / Midnight Blue explorou uma falha de estouro de inteiro para atacar uma impressora Lexmark, garantindo um prêmio de US$ 10.000 e 2 pontos de Master of Pwn.
Classificação final do Pwn2Own Ireland 2024
Fonte: Iniciativa Zero Day
A equipe Viettel Cyber Security conquistou o prêmio "Master of Pwn" ao acumular 33 pontos, além de um total de US$ 205.000 em prêmios pelas falhas demonstradas em NAS da QNAP, caixas de som Sonos e impressoras Lexmark.
O próximo evento Pwn2Own está programado para 22 de janeiro de 2025, em Tóquio, Japão. Este evento será focado na indústria automotiva e contará com quatro categorias para os participantes: Tesla, Sistemas de Infoentretenimento Veicular (IVI), Carregadores de Veículos Elétricos e Sistemas Operacionais.
A Zero Day Initiative (ZDI) publicou detalhes sobre as categorias e os prêmios em dinheiro para explorações bem-sucedidas. As regras da competição estão disponíveis aqui.
Via - BC
Comments