“零日行动”(Zero Day Initiative,ZDI)举办的2021年Pwn2Own奥斯汀黑客竞赛已经结束,参与者因他们在路由器、打印机、NAS设备、智能手机和智能扬声器设备上发现的零日漏洞而获得的总收入超过100万美元。来自法国的Synacktiv团队加冕Pwn大师,获得20个积分,197500美元的奖金。来自台湾的DEVCORE战队名列第二,18个积分,180000美元的奖金。本届大赛的亮点之一是对打印机的攻击挑战,有十一个战队成功实现了对三款主流打印机的入侵,或接管或远程执行代码。
本年度奥斯汀Pwn2Own专注于黑客设备,ZDI称这是迄今为止最大的Pwn2Own。白帽黑客在活动的第一天赚了36.25万美元,第二天赚了41.5万美元,第三天赚了238750美元,还有6.5万美元在第四天被瓜分。在比赛中发现了61个漏洞——这些漏洞通常是由多个漏洞连接起来的——参赛者总共获得了1,081250美元的奖金。
Sonos One智能音箱的奖金最高。有两个团队每人赚了6万美元,他们实现了任意代码执行并控制了设备。
在Pwn2Own的历史上,参与者首次入侵了打印机——活动上展示了11个成功的打印机入侵,为研究人员赚取了近20万美元。主办方选择了HP Color LaserJet Pro MFP M283fdw、利盟Lexmark MC3224i和佳能 ImageCLASS MF644Cdw三款打印机作为靶标。
Pwn2Own上被黑的打印机
对三星Galaxy S21的黑客攻击只有一次成功,还有一次部分成功。成功的入侵尝试获得了5万美元的奖励,部分成功的尝试(包括一个已知的缺陷)获得了2.5万美元的奖励。
在路由器方面,参与者通过入侵思科、Netgear和TP-Link路由器获得了超过24万美元的收入。最高的奖励是3万美元,奖励给了几个通过广域网接口利用思科路由器的团队。
在NAS类别中,黑客从西部数据展示了NAS设备漏洞的利用,共获得44.5万美元。最高的单笔赔偿是4.5万美元,用于破解设备固件的测试版。
总的来说,Synacktiv团队赚了最多的钱,将近20万美元,其次是Devcore团队,18万美元。
值得注意的是,在某些情况下,白帽黑客仍然可以通过他们的漏洞利用获利数万美元,即使他们利用了之前向受影响的供应商披露的漏洞。
在本届Pwn2Own大赛中,还没有人试图入侵电视和外部存储设备。
供应商已经得到了在竞赛中被利用的漏洞的详细信息,他们将有120天的时间发布补丁。
虽然就漏洞利用尝试入侵成功的次数而言,这次奥斯汀黑客大赛是最大的Pwn2Own,但支付的奖金总额略低于4月份举办的 Pwn2Own,那次参与者因入侵Safari、Chrome、Edge、Windows 10、Ubuntu、Microsoft Teams、Zoom、Parallels 和 Microsoft Exchange获得了超过120万美元的奖金 。
参考资源
1、https://www.zerodayinitiative.com/blog/2021/11/1/pwn2ownaustin
2、https://www.securityweek.com/device-exploits-earn-hackers-over-1-million-pwn2own-austin-2021
声明:本文来自网空闲话,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。