No terceiro dia do Pwn2Own Irlanda 2024, continuou-se a destacar a expertise de hackers white hat ao expor 11 vulnerabilidades zero-day, somando $124.750 ao total do prêmio, que agora está em $874.875.
Pwn2Own, uma competição global de hacking, desafia os principais pesquisadores de segurança a explorar uma variedade de softwares e dispositivos de hardware, com o objetivo final de ganhar o cobiçado título de "Master of Pwn" e reivindicar até $1 milhão em recompensas.
No Dia 1, participantes revelaram 52 vulnerabilidades zero-day, e no Dia 2, outras 51 zero-days foram adicionadas.
Ontem, a competição viu performances impressionantes de equipes representando a Viettel Cyber Security, DEVCORE e PHP Hooligans/Midnight Blue, entre outras.
O dia começou com sucesso para Ha The Long e Ha Anh Hoang da Viettel Cyber Security, que exploraram o NAS QNAP TS-464 usando uma única vulnerabilidade de injeção de comando.
Esse ataque bem-sucedido rendeu-lhes $10.000 e 4 pontos Master of Pwn.
Pumpkin Chang e Orange Tsai do DEVCORE Research Team combinaram três exploits — uma injeção CRLF, um bypass de autenticação e uma injeção SQL — para tomar controle do Synology BeeStation.
Seu exploit complexo premiou-os com $20.000 e 4 pontos.
PHP Hooligans / Midnight Blue usaram uma escrita fora dos limites e um bug de corrupção de memória para realizar um "SOHO Smashup".
Eles conseguiram ir do roteador QNAP QHora-322 para uma impressora Lexmark, imprimindo suas próprias "notas bancárias", ganhando para a equipe $25.000 e 10 pontos Master of Pwn.
Mais tarde, a Viettel Cyber Security obteve outro sucesso, explorando a impressora Lexmark CX331adwe usando uma vulnerabilidade de confusão de tipo, adicionando $20.000 e mais 2 pontos ao seu saldo.
No entanto, nem todas as tentativas de exploits correram bem, e o terceiro dia teve sua cota de colisões, onde múltiplas equipes usaram as mesmas vulnerabilidades para comprometer dispositivos.
A STEALIEN Inc. comprometeu com sucesso uma câmera Lorex, mas o bug que aproveitaram já havia sido utilizado, reduzindo seu pagamento para $3.750 e concedendo apenas 1,5 ponto.
A Viettel Cyber Security também encontrou uma colisão ao explorar uma impressora Canon usando um overflow de buffer baseado em pilha, que havia sido previamente demonstrado.
Isso rendeu-lhes $5.000 e 1 ponto.
Viettel Cyber Security e ANHTUD enfrentaram desafios quando o tempo acabou antes que pudessem completar seus exploits, ambos ao tentarem violar o Ubiquiti AI Bullet dentro do tempo alocado.
Com apenas 15 tentativas restantes na agenda para o Dia 4, os participantes quase esgotaram o prêmio, mas ainda há mais de $125.000 em prêmios disponíveis.
Conforme o concurso entra em sua fase final, a Viettel Cyber Security está confortavelmente na liderança, tendo mais que o dobro dos pontos que os contendores DEVCORE, Neodyme, Summoning Team e Ret2 Systems acumularam até agora.
Ao final do Dia 3, o evento revelou 114 vulnerabilidades zero-day, destacando o papel crítico dessas competições no fortalecimento da segurança dos dispositivos dos consumidores.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...