На Pwn2Own Ireland 2024 эксперты по кибербезопасности показали 38 успешных атак, используя 0-day уязвимости.
Взломаны сетевые хранилища (NAS), принтеры, IP-камеры и умные колонки. Общий призовой фонд достиг почти миллиона долларов.
Четыре дня атак принесли множество результатов. Хакеры взламывали популярные устройства — от смартфонов до систем хранения данных и умных колонок. Все они работали на актуальных прошивках, с установленными последними обновлениями.
Особое внимание привлекли сетевые хранилища. Например, QNAP TS-464 была успешно атакована четыре раза. Уязвимости включали использование оставленных в прошивке криптографических ключей и ошибки в проверке сертификатов. Модель QNAP QHora-322 была взломана шесть раз, и за одну из атак с использованием SQL-инъекций хакеры получили $100,000.
IP-камеры тоже были уязвимы. Камера Lorex 2K WiFi взломана пять раз, хакеры использовали переполнение буфера. Призы за взломы этой камеры составили $30,000 и $15,000. Камеру Synology TC500 также взломали через переполнение буфера, за что взломщики получили $30,000.
Принтеры также стали целью хакеров. Модели от Lexmark, HP и Canon были успешно взломаны с использованием уязвимостей переполнения стека и ошибок обработки типов данных. Премии за взломы варьировались от $5,000 до $20,000.
Умные колонки не остались в стороне. Sonos Era 300 была взломана трижды — хакеры использовали переполнение буфера и ошибки с обращением к уже освобождённой памяти. За эти атаки выплачено до $60,000.
Не все попытки оказались успешными. Время на взлом было ограничено, и некоторые атаки не уложились в отведённый срок. Неудачные попытки были зафиксированы при взломах IP-камер от Synology и Lorex, принтеров Canon и Lexmark, а также нескольких моделей NAS.
Организаторы выплатили $993,625 за успешные взломы, ещё раз показав, насколько уязвимы даже современные устройства с последними обновлениями безопасности. Все подробности об уязвимостях будут опубликованы позже — производителям предоставили 90 дней для выпуска патчей.
Взломаны сетевые хранилища (NAS), принтеры, IP-камеры и умные колонки. Общий призовой фонд достиг почти миллиона долларов.
Четыре дня атак принесли множество результатов. Хакеры взламывали популярные устройства — от смартфонов до систем хранения данных и умных колонок. Все они работали на актуальных прошивках, с установленными последними обновлениями.
Особое внимание привлекли сетевые хранилища. Например, QNAP TS-464 была успешно атакована четыре раза. Уязвимости включали использование оставленных в прошивке криптографических ключей и ошибки в проверке сертификатов. Модель QNAP QHora-322 была взломана шесть раз, и за одну из атак с использованием SQL-инъекций хакеры получили $100,000.
IP-камеры тоже были уязвимы. Камера Lorex 2K WiFi взломана пять раз, хакеры использовали переполнение буфера. Призы за взломы этой камеры составили $30,000 и $15,000. Камеру Synology TC500 также взломали через переполнение буфера, за что взломщики получили $30,000.
Принтеры также стали целью хакеров. Модели от Lexmark, HP и Canon были успешно взломаны с использованием уязвимостей переполнения стека и ошибок обработки типов данных. Премии за взломы варьировались от $5,000 до $20,000.
Умные колонки не остались в стороне. Sonos Era 300 была взломана трижды — хакеры использовали переполнение буфера и ошибки с обращением к уже освобождённой памяти. За эти атаки выплачено до $60,000.
Не все попытки оказались успешными. Время на взлом было ограничено, и некоторые атаки не уложились в отведённый срок. Неудачные попытки были зафиксированы при взломах IP-камер от Synology и Lorex, принтеров Canon и Lexmark, а также нескольких моделей NAS.
Организаторы выплатили $993,625 за успешные взломы, ещё раз показав, насколько уязвимы даже современные устройства с последними обновлениями безопасности. Все подробности об уязвимостях будут опубликованы позже — производителям предоставили 90 дней для выпуска патчей.
