2023 年 10 月 27 日にカナダのトロントで閉幕した年次コンピューター ハッキング コンテスト Pwn2Own では、セキュリティ研究者が 58 件のユニークなゼロデイ エクスプロイト (および複数のバグ衝突) で 1,038,500 ドルを獲得しました。
4 日間のハッキング イベントは 2023 年 10 月 24 日から 2023 年 10 月 27 日まで開催され、出場者には 1,000,000 米ドル以上の賞金やその他の賞品が用意されています。
このハッキング イベントには、セキュリティ研究者が競争の対象となる複数のカテゴリがあり、その中にはプリンタ、監視システム、ネットワーク接続ストレージ (NAS) デバイス、携帯電話、ホーム オートメーション ハブ、スマート スピーカー、Google の Pixel Watch および Chromecast デバイスが含まれていました。
ハッキング コンテストでは、Pentest Ltd、STAR Labs SG、Interrupt Labs、ToChim のチームによって、Samsung Galaxy S23 が 4 回ハッキングに成功しました。 Pentest Ltd と Interrupt Labs は Samsung Galaxy S23 に対して不適切な入力検証を実行できましたが、STAR Labs SG と ToChim はスマートフォンに対して許可された入力の許容リストを悪用することができました。
さらに、Samsung Galaxy S23 の活用により、Pentest Ltd チームと Interrupt Labs チームはそれぞれ 50,000 ドルと 25,000 ドルの報酬と 5 Master of Pwn ポイントを獲得し、STAR Labs SG チームと ToChim チームはそれぞれ 25,000 ドルと 5 Master of Pwn ポイントを獲得しました。彼らの功績。
その他のハイライト:
- Chris Anastasio は、TP-Link Omada ギガビット ルーターのバグと Lexmark CX331adwe のバグを 100,000 ドルで悪用することができました。
- Sea Security の Team Orca は、60,000 ドルで Sonos Era 100 に対して OOB Read と UAF を使用して 2 つのバグ チェーンを実行しました
- DEVCORE インターンが TP-Link Omada ギガビット ルーターに対してスタック オーバーフロー攻撃を実行し、QNAP TS-464 の 2 つのバグを悪用して 50,000 ドルを獲得しました
- Team Viettel は、SOHO スマッシュアップ用の TP-Link Omada ギガビット ルーターと Canon imageCLASS MF753Cdw に対して、ヒープ ベースのバッファ オーバーフローとスタック ベースのバッファ オーバーフローを 50,000 ドルで実行できました。
- Xiaomi、Western Digital、Synology、Canon、Lexmark、Sonos、TP-Link、QNAP、Wyze、Lexmark、HP はすべて、コンテスト中に悪用されました。
Master of Pwn の総合優勝者は、Master of Pwn ポイント 30 を獲得した Team Viettel で、180,000 ドルを獲得しました。リーダーボードでは、Sea Security の Team Orca が 116,250 ドル (17.25 ポイント)、DEVCORE Intern と Interrupt Labs (それぞれ 50,000 ドル、10 ポイント) が続きました。
Chris Anastasio と Pentest Ltd はそれぞれ 9 ポイントでリーダーボードの 4 位と 5 位にランクされ、100,000 ドルと 90,000 ドルを獲得しました。
Pwn2Own Toronto 2023 ハッキング イベントの完全なスケジュールは、こちらでご覧いただけます。各チャレンジのその日の結果もここで見つけることができます (1、2、3、4)。
Pwn2Ownとは何ですか?
Pwn2Own は、トレンドマイクロのゼロデイ イニシアチブ (ZDI) が毎年主催するハッキング コンテストで、倫理的なハッカー、サイバーセキュリティの専門家、その他数名の参加者が参加します。
Pwn2Own ハッキング コンテストでは、セキュリティ研究者が最新かつ最も人気のあるモバイル デバイスや IoT デバイスを悪用し、スキルを実証し、主要なゼロデイ脆弱性をテクノロジー企業に公開します。コンテストの勝者は、悪用したデバイスと賞金を受け取ります。
イベント後、ベンダーはこれらのバグに対するパッチを作成するために 90 日の猶予が与えられます。期限が終了すると、パッチのステータスに関係なく、ZDI は欠陥を公表します。