Pwn2Own 2024 revela 114 vulnerabilidades zero-day
25 de Outubro de 2024

No terceiro dia do Pwn2Own Irlanda 2024, continuou-se a destacar a expertise de hackers white hat ao expor 11 vulnerabilidades zero-day, somando $124.750 ao total do prêmio, que agora está em $874.875.

Pwn2Own, uma competição global de hacking, desafia os principais pesquisadores de segurança a explorar uma variedade de softwares e dispositivos de hardware, com o objetivo final de ganhar o cobiçado título de "Master of Pwn" e reivindicar até $1 milhão em recompensas.

No Dia 1, participantes revelaram 52 vulnerabilidades zero-day, e no Dia 2, outras 51 zero-days foram adicionadas.

Ontem, a competição viu performances impressionantes de equipes representando a Viettel Cyber Security, DEVCORE e PHP Hooligans/Midnight Blue, entre outras.

O dia começou com sucesso para Ha The Long e Ha Anh Hoang da Viettel Cyber Security, que exploraram o NAS QNAP TS-464 usando uma única vulnerabilidade de injeção de comando.

Esse ataque bem-sucedido rendeu-lhes $10.000 e 4 pontos Master of Pwn.

Pumpkin Chang e Orange Tsai do DEVCORE Research Team combinaram três exploits — uma injeção CRLF, um bypass de autenticação e uma injeção SQL — para tomar controle do Synology BeeStation.

Seu exploit complexo premiou-os com $20.000 e 4 pontos.

PHP Hooligans / Midnight Blue usaram uma escrita fora dos limites e um bug de corrupção de memória para realizar um "SOHO Smashup".

Eles conseguiram ir do roteador QNAP QHora-322 para uma impressora Lexmark, imprimindo suas próprias "notas bancárias", ganhando para a equipe $25.000 e 10 pontos Master of Pwn.

Mais tarde, a Viettel Cyber Security obteve outro sucesso, explorando a impressora Lexmark CX331adwe usando uma vulnerabilidade de confusão de tipo, adicionando $20.000 e mais 2 pontos ao seu saldo.

No entanto, nem todas as tentativas de exploits correram bem, e o terceiro dia teve sua cota de colisões, onde múltiplas equipes usaram as mesmas vulnerabilidades para comprometer dispositivos.

A STEALIEN Inc. comprometeu com sucesso uma câmera Lorex, mas o bug que aproveitaram já havia sido utilizado, reduzindo seu pagamento para $3.750 e concedendo apenas 1,5 ponto.

A Viettel Cyber Security também encontrou uma colisão ao explorar uma impressora Canon usando um overflow de buffer baseado em pilha, que havia sido previamente demonstrado.

Isso rendeu-lhes $5.000 e 1 ponto.

Viettel Cyber Security e ANHTUD enfrentaram desafios quando o tempo acabou antes que pudessem completar seus exploits, ambos ao tentarem violar o Ubiquiti AI Bullet dentro do tempo alocado.

Com apenas 15 tentativas restantes na agenda para o Dia 4, os participantes quase esgotaram o prêmio, mas ainda há mais de $125.000 em prêmios disponíveis.

Conforme o concurso entra em sua fase final, a Viettel Cyber Security está confortavelmente na liderança, tendo mais que o dobro dos pontos que os contendores DEVCORE, Neodyme, Summoning Team e Ret2 Systems acumularam até agora.

Ao final do Dia 3, o evento revelou 114 vulnerabilidades zero-day, destacando o papel crítico dessas competições no fortalecimento da segurança dos dispositivos dos consumidores.

Publicidade

Black November Solyd 2024

Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...