Xakep #305. Многошаговые SQL-инъекции
В этом году хакерское соревнование Pwn2Own впервые проходит в Ирландии. В первый же день участники успели заработать 500 000 долларов США, продемонстрировав более 50 0-day уязвимостей и успешно взломав NAS, камеры, «умные» колонки и принтеры самых разных производителей.
Самое крупное вознаграждение первого дня (100 000 долларов США) получили специалисты из команды Summoning Team, которые объединили в цепочку сразу девять уязвимостей нулевого дня и сначала атаковали маршрутизатор QNAP QHora-322, а через него перешли к компрометации TrueNAS Mini X.
Еще одну цепочку эксплоитов, нацеленную на продукты QNAP QHora-322 и TrueNAS Mini X продемонстрировала команда Viettel Cyber Security, но она заработала на своей атаке только 50 000 долларов США. Тем не менее, за счет других успешных атак Viettel Cyber Security стала лидером первого дня по количеству очков Master of Pwn.
Также крупного вознаграждения удостоился Джек Дейтс (Jack Dates) из RET2 Systems, получивший 60 000 долларов за успешный взлом «умной» колонки Sonos Era 300, который давал полный контроль над устройством.
Кроме того, участники состязания показали работающие эксплоиты для камер Lorex 2K WiFi, Ubiquity AI Bullet и Synology TC500, а также принтеров HP Color LaserJet Pro MFP 3301fdw и Canon imageCLASS MF656Cdw. Эти попытки атак принесли разным командам от 11 000 до 30 000 долларов США.
По информации Trend Micro Zero Day Initiative (ZDI), всего в первый день Pwn2Own Ireland было выплачено 516 250 долларов США за 52 уникальные 0-day уязвимости.
В последующие дни участники соревнования попытаются взломать не только NAS, «умные» колонки и принтеры, но также смартфон Samsung Galaxy S24 и хаб AeoTec Smart Home.
Кроме того, в этом году на Pwn2Own представлена категория мессенджеров, и за работающий zero-click эксплоит для WhatsApp можно получить до 300 000 долларов США, а за эксплоиты для Pixel 8 и iPhone 15 предлагается до 250 000 долларов. Однако ни одной заявки в этой категории подано не было.