Le quatrième jour de Pwn2Own Ireland 2024 a marqué la fin de la compétition de piratage avec plus de 1 million de dollars de prix pour plus de 70 vulnérabilités zero-day uniques dans des appareils entièrement corrigés.
Le concours de piratage oppose des chercheurs en sécurité à divers produits logiciels et matériels, dans le but de remporter le titre de « Maître du Pwn » en compromettant des cibles dans huit catégories allant des téléphones mobiles, des applications de messagerie, de la domotique et des haut-parleurs intelligents aux imprimantes, systèmes de surveillance, stockage en réseau (NAS) et SOHO Smash-up.
Cette édition de Pwn2Own était la quatrième consécutive où les pirates au chapeau blanc ont dépassé la barre du million de dollars de prix, gagnant un total de 1 066 625$.
Au cours de la dernière journée de la compétition, les chercheurs en sécurité ont exploité avec succès les appareils de Lexmark, True NAS et QNAP:
- L’équipe Smoking Barrels a exploité deux vulnérabilités dans TrueNAS X. Bien que l’un des bugs ait déjà été utilisé dans le concours, l’équipe a quand même gagné 20 000 $et 2 points Master of Pwn
- L’équipe Cluck a utilisé une chaîne de six vulnérabilités pour passer du QNAP QHora-322 au Lexmark CX331adwe. L’une des failles avait déjà été utilisée mais ils ont reçu 23 000 $et des points Master of Pwn pour l’exploitation réussie
- Viettel Cyber Security a ciblé TrueNAS Mini X avec un exploit à deux bogues. Leur chaîne s’est également appuyée sur un bug précédemment vu dans la compétition mais leur démonstration a été récompensée par 20 000 $et 2 points Master of Pwn
- Hooligans PHP / Midnight Blue a exploité une vulnérabilité de débordement d’entier pour exploiter une imprimante Lexmark, ce qui leur a valu 10 000 and et 2 points Master of Pwn
Viettel Cyber Security a reçu le prix « Master of Pwn » pour avoir collecté un total de 33 points Master of Pwn. Ils ont gagné 205 000 for pour les défauts démontrés dans les NAS QNAP, les haut-parleurs Sonos et les imprimantes Lexmark.
Le prochain événement Pwn2Own est prévu pour le 22 janvier 2025 et se déroulera à Tokyo, au Japon.
L’événement se concentre sur l’industrie automobile et comporte quatre catégories pour les participants: Tesla, l’infodivertissement embarqué (IVI), les Chargeurs de véhicules électriques et les Systèmes d’exploitation.
Zero Day Initiative (ZDI) a publié des détails sur les catégories et les prix en argent pour une exploitation réussie. Le règlement du concours est disponible ici.