今年下半年的Pwn2Own駭客競賽於11月5日正式結束,今年的與會隊伍總計揭露了61個零時差漏洞,抱走1,081,250美元的獎金,由來自法國的Synacktiv得到20分的最高積分,在今年上半年拿下Pwn2Own冠軍的臺灣隊伍戴夫寇爾(Devcore),這次以兩分之差居次拿下第二名。

11月2日展開的Pwn2Own駭客競賽過去稱為Pwn2Own Mobile,是鎖定行動裝置等消費者裝置的白帽駭客活動,今年在Zero Day Initiative(ZDI)德州奧斯汀總部舉行,並更名為Pwn2Own Austin,這場賽事總計有來自22個國家的58個隊伍參賽,攻擊目標為22種裝置,涵蓋Google Pixel 5、Samsung Galaxy S21、蘋果iPhone 12,以及各式印表機、網路儲存裝置(NAS)、智慧喇叭及網路電視等。

法國的Synacktiv團隊首日便攻陷了Canon ImageCLASS MF644Cdw多功能印表機,利用一個堆積溢位漏洞就取得該印表機的控制權;第二天該團隊再度攻陷Western Digital的My Cloud Pro Series PR4100網路儲存裝置,透過其配置錯誤臭蟲執行程式,也成功破解Sonos One智慧喇叭,可自遠端播放歌曲,亦利用3個臭蟲於Lexmark MC3224i印表機上執行程式,亦成功開採了HP Color LaserJet Pro MFP M283fdw印表機;第三天Synacktiv再接再勵,攻陷Cisco RV340路由器的LAN介面,破解WD的3TB My Cloud Home Personal Cloud網路儲存設備,以及NETGEAR R6700v3 路由器的WAN介面。

來自臺灣的戴夫寇爾表現亦可圈可點,他們在第一天利用堆積緩衝區溢位漏洞控制了 Canon ImageCLASS印表機,亦成功於Sonos One喇叭上執行程式,攻陷了HP Color LaserJet Pro印表機;第二天成功開採了WD的 My Cloud Pro Series PR4100網路儲存裝置,利用程式注入漏洞控制了Lexmark MC3224i印表機;在最後一天攻陷WD的3TB My Cloud Home Personal Cloud網路儲存裝置。

Synacktiv總計獲得了20分的積分,抱走197,500美元的獎金。戴夫寇爾有18分,獎金為18萬美元。排名第三的是來自新加坡的Star Labs,積分為12分,獎金則是112,500美元。

圖片來源_Zero Day Initiative(ZDI)

ZDI將會把研究人員所發現的漏洞提交給供應商,並提供 120天的修補期限。


熱門新聞

Advertisement