No primeiro dia do Pwn2Own Ireland 2025, pesquisadores de segurança exploraram 34 vulnerabilidades zero-day exclusivas, arrecadando um total de US$ 522,5 mil em prêmios.
O destaque foi a dupla Bongeun Koo e Evangelos Daravigkas, da equipe DDOS, que encadeou oito falhas zero-day para invadir o roteador wireless QNAP Qhora-322 via interface WAN, obtendo acesso a um NAS QNAP TS-453E.
Com essa façanha, a equipe faturou US$ 100 mil e assumiu a segunda posição no ranking Master of Pwn, somando 8 pontos.
Outros grupos e pesquisadores também se destacaram.
As equipes Synacktiv, Summoning (com Sina Kheirkhah), DEVCORE e o especialista Stephen Fewer, da Rapid7, receberam US$ 40 mil cada após alcançarem privilégios de root em dispositivos como Synology BeeStation Plus, Synology DiskStation DS925+, QNAP TS-453E e Home Assistant Green, respectivamente.
A impressora multifuncional laser Canon imageCLASS MF654Cdw foi explorada quatro vezes pelas equipes STARLabs, PetoWorks, ANHTUD e pesquisadores do Ierae.
Além disso, a STARLabs invadiu o smart speaker Sonos Era 300, garantindo US$ 50 mil, enquanto a equipe ANHTUD explorou a Philips Hue Bridge, arrecadando mais US$ 40 mil.
Sina Kheirkhah e McCaulay Hudson, do Summoning Team, usaram uma cadeia de exploits com duas vulnerabilidades zero-day para obter acesso root no Synology ActiveProtect Appliance DP320, conquistando mais US$ 50 mil.
O Summoning Team encerrou o dia com um total de US$ 102,5 mil em prêmios, consolidando a liderança do ranking Master of Pwn com 11,5 pontos.
O Pwn2Own é organizado pela Zero Day Initiative (ZDI) com o objetivo de identificar vulnerabilidades em dispositivos prioritários antes que agentes mal-intencionados as explorem.
Após a divulgação dos exploits durante a competição, os fabricantes têm 90 dias para lançar patches de segurança, antes que a ZDI torne as falhas públicas.
Em 2025, o Pwn2Own Ireland inclui oito categorias de ataque: smartphones topo de linha (Apple iPhone 16, Samsung Galaxy S25 e Google Pixel 9), aplicativos de mensagens, dispositivos smart home, impressoras, equipamentos de rede doméstica, sistemas de armazenamento em rede, equipamentos de vigilância e tecnologias vestíveis — entre eles, os óculos inteligentes Ray-Ban da Meta e os headsets Quest 3/3S.
Nesta edição, a ZDI ampliou os vetores de ataque na categoria mobile para incluir exploração via porta USB, obrigando os competidores a invadirem telefones bloqueados por conexão física.
Ataques tradicionais via Bluetooth, Wi-Fi e NFC continuam válidos.
No segundo dia de competição, os pesquisadores retornarão o foco para dispositivos de armazenamento em rede, impressoras, smart home, sistemas de vigilância e o smartphone Samsung Galaxy S25.
Além disso, conforme anunciado em agosto, a ZDI oferece pela primeira vez um prêmio de US$ 1 milhão para quem demonstrar um exploit zero-click no WhatsApp, capaz de executar código sem qualquer interação do usuário.
O Pwn2Own Ireland 2025 conta com o patrocínio da Meta, QNAP e Synology.
O evento ocorre de 21 a 24 de outubro na cidade de Cork, Irlanda.
Na edição anterior, os pesquisadores receberam mais de US$ 1 milhão (exatamente US$ 1.078.750) por mais de 70 vulnerabilidades zero-day, com destaque para a Viettel Cyber Security, que faturou US$ 205 mil explorando falhas em produtos da QNAP, Sonos e Lexmark.
Em janeiro de 2026, a ZDI retorna ao Automotive World, em Tóquio, para a terceira edição do Pwn2Own Automotive, com o retorno da Tesla como patrocinadora.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...