Xakep #305. Многошаговые SQL-инъекции
Хакерское соревнование Pwn2Own Ireland 2024 подошло к концу. В этом году участники суммарно заработали более 1 млн долларов США, продемонстрировав работающие эксплоиты для камер, принтеров, NAS, «умных» колонок и смартфонов.
Напомним, что в первый день состязания принес исследователям более 500 000 долларов, а во второй день они заработали более 350 000 долларов, в том числе 50 000 долларов за эксплоит для полностью пропатченного смартфона Samsung Galaxy S24.
В третий день участники Pwn2Own Ireland 2024 довели общую сумму вознаграждений почти до миллиона долларов, получив от 3 000 до 25 000 за успешную компрометацию маршрутизатора QNAP, принтеров Canon и Lexmark, камеры Lorex, а также NAS компаний TrueNAS, QNAP и Synology.
В последний четвертый день Pwn2Own, было всего четыре попытки атак: специалисты показали эксплоиты, нацеленные на принтер Lexmark, NAS TrueNAS и маршрутизатор QNAP, а одна из атак объединяла в себе сразу уязвимости в маршрутизаторе QNAP и принтере Lexmark.
Так как последний день соревнования принес исследователям еще 73 000 долларов, в результате общая сумма выплаченных вознаграждений составила 1 066 625 долларов США. Организаторы мероприятия, Trend Micro Zero Day Initiative (ZDI), сообщили, что за четыре дня участники в общей сложности показали и успешно атаковали более 70 новых уязвимостей.
Победителем этого года с большим обрывом стала команда Viettel Cyber Security, лидировавшая с первого дня. Команда получила титул «Master of Pwn», набрав 33 балла. Также успешные взломы QNAP NAS, колонки Sonos и принтеров Lexmark принесли победителям 205 000 долларов США.
Представители ZDI уже анонсировали, что следующее мероприятие Pwn2Own запланировано на 22 января 2025 года и пройдет в Токио. Этот этап будет посвящен автомобильной промышленности и включает четыре категории: Tesla, автомобильные информационно-развлекательные системы, зарядные устройства для электромобилей и операционные системы.
