В минувшие выходные в Торонто завершилось хакерское соревнование Pwn2Own, организованное Trend Micro Zero Day Initiative (ZDI). На этот раз ИБ-исследователи заработали 1 038 500 долларов и продемонстрировали 58 эксплоитов для уязвимостей нулевого дня в различных потребительских гаджетах.
В рамках Pwn2Own Toronto 2023 исследователи атаковали всевозможные мобильные устройства и IoT-девайсы. Так, этот список включал мобильные телефоны (Apple iPhone 14, Google Pixel 7, Samsung Galaxy S23 и Xiaomi 13 Pro), принтеры, беспроводные маршрутизаторы, NAS, хабы для умных домов, системы видеонаблюдения, умные колонки, а также устройства Google Pixel Watch и Chromecast, причем все они были настроены по умолчанию и имели последние обновления безопасности.
Самые высокие награды были предусмотрены за ошибки нулевого дня в категории мобильных телефонов: денежные призы в размере до 300 000 долларов полагались за взлом iPhone 14 и 250 000 долларов за взлом Pixel 7. Бонусы в в размере 50 000 долларов полагались за успешную эксплуатация устройств Google и Apple, если полезная нагрузка эксплоита будет выполнена с привилегиями ядра. Общий размер призового фонда в этом году составил более 1 000 000 долларов.
Хотя ни одна из команд не взялась за взлом смартфонов Apple iPhone 14 и Google Pixel 7, участники соревнования сумели четырежды взломать полностью пропатченный Samsung Galaxy S23.
Так, команда Pentest Limited первой продемонстрировала 0-day баг в Samsung Galaxy S23, воспользовавшись ошибкой input validation для выполнения кода, и заработала на этом 50 000 долларов США и 5 баллов Master of Pwn.
Второй была команда STAR Labs SG, которая так же использовала список разрешенных входных данных для взлома флагмана Samsung в первый день соревнований, что в итоге принесло специалистам 25 000 долларов (половина вознаграждения за повторный взлом того же устройства) и 5 очков Master of Pwn.
Во второй день соревнований исследователи из команд Interrupt Labs и ToChim тоже взломали Galaxy S22, используя список разрешенных входных данных и и еще одну уязвимость, связанную с input validation.
Также стоит отметить, что самая высокая награда rjyrehcf досталась Крису Анастасио (Chris Anastasio), который заработал 100 000 долларов за эксплоиты, нацеленные на уязвимость в гигабитном маршрутизаторе TP-Link Omada и эксплоит для принтера Lexmark CX331adwe.
В итоге победителем Pwn2Own в этом году стала команда Viettel, заработавшая 180 000 долларов и 30 очков Master of Pwn. За ними в таблице лидеров следуют команда Orca компании Sea Security (116 250 долларов и 17,25 балла Master of Pwn), а также DEVCORE Intern и Interrupt Labs (50 000 долларов и 10 очков Master of Pwn).
Суммарно за четыре дня состязаний ИБ-эксперты показали работающие эксплоиты для 58 уязвимостей нулевого дня в устройствах различных производителей, включая Xiaomi, Western Digital, Synology, Canon, Lexmark, Sonos, TP-Link, QNAP, Wyze, Lexmark и HP.
Теперь все поставщики должны исправить продемонстрированные и раскрытые во время Pwn2Own уязвимости течение 120 дней, а затем Trend Micro Zero Day Initiative открыто опубликует технические подробности обо всех использованных на соревновании 0-day эксплоитах.