Την πρώτη ημέρα του Pwn2Own Ireland 2025, οι ερευνητές ασφαλείας εκμεταλλεύτηκαν 34 μοναδικές μηδενικές ημέρες και συγκέντρωσαν 522.500 δολάρια σε χρηματικά βραβεία.
Το αποκορύφωμα της ημέρας ήταν ο Bongeun Koo και ο Ευάγγελος Δαραβίγκας της Team DDOS αλυσοδένοντας οκτώ ελαττώματα μηδενικής ημέρας για να χακάρετε τον ασύρματο δρομολογητή Ethernet QNAP Qhora-322 μέσω της διεπαφής WAN και να αποκτήσετε πρόσβαση σε μια συσκευή QNAP TS-453E NAS. Για αυτή την επιτυχημένη προσπάθεια, κέρδισαν $100.000 και τώρα βρίσκονται στη δεύτερη θέση του leaderboard Master of Pwn με 8 βαθμούς.
Η ομάδα Synacktiv, η Sina Kheirkhah της Ομάδας Summoning, η Ομάδα DEVCORE και ο Stephen Fewer του Rapid7 κέρδισαν επίσης 40.000 $ ο καθένας αφού απέκτησαν ρίζες στο Synology BeeStation Plus, το Synology DiskStation DS925+, το QNAP TS-453E, αντίστοιχα, το Green, το Home.
Οι ερευνητές της STARLabs, της Team PetoWorks, της Team ANHTUD και της Ierae χάκαραν τον πολυλειτουργικό εκτυπωτή laser imageCLASS MF654Cdw της Canon τέσσερις φορές, ενώ η STARLabs παραβίασε επίσης το έξυπνο ηχείο Sonos Era 300 για να κερδίσει $50.000 και η Team Bridge ANH εισέπραξε το ANH 40.000$ σε μετρητά.
Η Sina Kheirkhah και ο McCaulay Hudson της Ομάδας Summoning χρησιμοποίησαν μια αλυσίδα εκμετάλλευσης που συνδυάζει δύο μηδενικές ημέρες για να αποκτήσουν ρίζα σε μια συσκευή Synology ActiveProtect DP320 και να κερδίσουν άλλα 50.000 $.
Το Summoning Team κέρδισε συνολικά $102.500 κατά την πρώτη ημέρα του διαγωνισμού και είναι στην κορυφή του βαθμολογικού πίνακα Master of Pwn με 11,5 βαθμούς.
Η Πρωτοβουλία Zero Day (ZDI) διαχειρίζεται την εκδήλωση για να εντοπίσει ευπάθειες ασφαλείας σε στοχευμένες συσκευές προτού οι φορείς απειλής μπορούν να τις εκμεταλλευτούν, συντονίζοντας την υπεύθυνη αποκάλυψη με τους επηρεαζόμενους προμηθευτές.
Μετά την εκμετάλλευση των ελαττωμάτων του zero-day κατά τη διάρκεια εκδηλώσεων Pwn2Own, δίνεται στους προμηθευτές 90 ημέρες για να εκδώσουν ενημερώσεις ασφαλείας προτού το Zero Day Initiative της Trend Micro τις αποκαλύψει δημόσια.
Ο διαγωνισμός hacking Pwn2Own Ireland 2025 διαθέτει οκτώ κατηγορίες στοχεύοντας κορυφαία smartphone (Apple iPhone 16, Samsung Galaxy S25 και Google Pixel 9), εφαρμογές ανταλλαγής μηνυμάτων, έξυπνες οικιακές συσκευές, εκτυπωτές, εξοπλισμό οικιακής δικτύωσης, συστήματα αποθήκευσης δικτύου, εξοπλισμό επιτήρησης και φορητές τεχνολογία (συμπεριλαμβανομένων των έξυπνων γυαλιών Ray-Ban και ακουστικών Quest 3/3S της Meta).
Φέτος, το ZDI επέκτεινε επίσης τους φορείς επίθεσης για την κατηγορία των κινητών για να συμπεριλάβει την εκμετάλλευση θύρας USB για φορητές συσκευές, η οποία απαιτεί από τους ανταγωνιστές να χακάρουν κλειδωμένα τηλέφωνα μέσω φυσικών συνδέσεων. Ωστόσο, τα παραδοσιακά ασύρματα πρωτόκολλα όπως το Bluetooth, το Wi-Fi και η επικοινωνία κοντινού πεδίου (NFC) παραμένουν έγκυροι φορείς επίθεσης.
Τη δεύτερη μέραοι ερευνητές ασφάλειας θα στοχεύσουν και πάλι συσκευές στις κατηγορίες αποθήκευσης συνδεδεμένων με το δίκτυο, εκτυπωτές, έξυπνα σπίτια και συστήματα επιτήρησης, καθώς και το Samsung Galaxy S25 στην κατηγορία των κινητών τηλεφώνων.
Όπως ανακοινώθηκε τον Αύγουστο, αυτή είναι επίσης η πρώτη φορά που η ZDI θα προσφέρει ανταμοιβή 1 εκατομμυρίου δολαρίων σε ερευνητές ασφαλείας που επιδεικνύουν ένα μηδενικό κλικ στο WhatsApp που επιτρέπει την εκτέλεση κώδικα χωρίς αλληλεπίδραση με τον χρήστη.
Η Meta, μαζί με την QNAP και τη Synology, συγχρηματοδοτεί τον διαγωνισμό hacking Pwn2Own Ireland 2025, ο οποίος λαμβάνει χώρα από τις 21 Οκτωβρίου έως τις 24 Οκτωβρίου στο Κορκ της Ιρλανδίας.
Κατά τη διάρκεια της περσινής εκδήλωσης Pwn2Own Ireland, οι ερευνητές ασφαλείας κέρδισαν 1.078.750 $ για περισσότερες από 70 ευπάθειες μηδενικής ημέρας, με τη Viettel Cyber Security να συγκεντρώνει 205.000 $ για σφάλματα QNAP, Sonos και Lexmark.
Τον Ιανουάριο του 2026, το ZDI θα επιστρέψει στην έκθεση τεχνολογίας Automotive World στο Τόκιο για τον τρίτο του διαγωνισμό Pwn2Own Automotiveμε τον Τέσλα να επιστρέφει ως χορηγός.
Το 46% των περιβαλλόντων είχαν σπάσει κωδικούς πρόσβασης, σχεδόν διπλασιασμένος από 25% πέρυσι.
Λάβετε τώρα την Έκθεση Picus Blue 2025 για μια ολοκληρωμένη ματιά σε περισσότερα ευρήματα σχετικά με τις τάσεις πρόληψης, ανίχνευσης και διείσδυσης δεδομένων.
VIA: bleepingcomputer.com
