Hace pocos días se dieron a conocer los resultados del concurso de ciberseguridad «Pwn2Own Ireland 2024», el cual se celebró del 22 al 25 de octubre. Durante estos cuatro dias se exhibieron múltiples ataques exitosos basados en vulnerabilidades del tipo zero day que afectaron diferentes dispositivos como teléfonos inteligentes, sistemas NAS y cámaras IP.

Durante los 4 días del evento, se ejecutaron un total de 38 ataques sobre el firmware y los sistemas operativos más recientes, lo que resultó en diversos premios totales cercanos al millón de dólares, entre los ataques más destacados que se presentaron en la competición, podemos mencionar los siguientes.

Durante el primer día, se presentaron la mayor parte de demostraciones de ataques y de ellos fueron los siguientes los que lograron su objetivo con éxito:

• Lorex 2K: Cinco hacks exitosos, con vulnerabilidades de desbordamiento de búfer y desreferencia de puntero. Los premios fueron $30,000, $15,000 y tres de $3,750.
• QNAP QHora-322: Se realizaron seis hacks (2 en el enrutador y 2 en el NAS) usando problemas de autenticación, recorrido de ruta y sustitución de SQL, con premios de hasta $100,000.
• Sonos Era 300: Tres exploits exitosos usando vulnerabilidades de desbordamiento de búfer y uso de memoria ya liberada, con premios de $60,000 y dos de $30,000.
• HP Color LaserJet Pro 3301fdw: Dos hacks, usando vulnerabilidades de desbordamiento de pila y manejo incorrecto de tipos, ganaron $20,000 y $10,000.
• Canon imageCLASS MF656Cdw: Tres exploits basados en desbordamiento de pila, con premios de $20,000, $10,000 y $5,000.
• QNAP TS-464 NAS: Cuatro ataques exitosos se basaron en vulnerabilidades como el uso de claves criptográficas residuales en el firmware y problemas de verificación de certificados y sustitución de comandos SQL. Los premios variaron entre $10,000 y $40,000.
• Synology TC500: utilizaron un desbordamiento de búfer basado en pila que obtuvo un premio de $30,000
• Ubiquity AI Bullet: se usó una combinación de errores en su cadena de ataque para explotar y hacer parpadear las luces (además de obtener un shell root). El premio fue de $30,000.
• Synology DiskStation DS1823xs+: utilizó una escritura OOB para obtener un shell y una página de inicio de sesión modificada

A partir del día dos en adelante fueron presentados en diversas ocasiones ataques a los mismos dispositivos, pero aun asi se premiaron los mismos tipos de ataques o errores que se aprovecharon con éxito:

• Samsung Galaxy S24: Un exploit que abarcó cinco vulnerabilidades, incluido un problema de recorrido de ruta, para obtener un shell e instalar una aplicación en el, se recompensó con $50,000.
• Sonos Era 300: utilizó un solo error de Use-After-Free (UAF) para explotar el parlante, se recompensó con $30,000.
• NAS True Storage X: Un solo ataque se recompensó con $20,000.
• Synology BeeStation BST150-4T: Cuatro hacks relacionados con la omisión de autenticación y sustitución de comandos obtuvieron premios que iban de $10,000 a $40,000.
• Synology DiskStation: utilizaron un error de validación de certificado incorrecto para realizar la explotación. El premio fue de $20,000.
• AeoTec Smart Home Hub: Un hack basado en una verificación incorrecta de firma criptográfica, con una recompensa de $40,000.

Dia 3:

• Impresora QNAP QHora-322: utilizaron una escritura OOB y un error de corrupción de memoria. Otro ataque se basó en la combinación de 4 errores, incluida una inyección de comando y un recorrido de ruta. Los premios fueron de $25,000.
• Lexmark CX331adwe: Se pagaron $20,000 por un exploit que aprovechó una vulnerabilidad de Type Confusion.
• Synology BeeStation: se utilizó un error de canal principal desprotegido para explotar  y ejecutar código. El premio fue de $10,000.

Dia 4:

• True NAS X: utilizó dos errores que ya se habían presentado anteriormente. El premio otorgado fue de $20,000.
• TrueNAS Mini X: se utilizaron dos errores de explotación. El premio fue de $20,000
•  QNAP QHora-322: se utilizaron 6 errores, aunque ya se había visto en el concurso. Aun asi el premio fue de $23,000

Finalmente cabe mencionar que hubo 16 intentos fallidos de hackeo debido a restricciones de tiempo, afectando dispositivos como las cámaras de seguridad Ubiquiti, Synology y Lorex, varias impresoras y NAS, y el altavoz Sonos Era 300.

En cuanto a la información detallada de estas vulnerabilidades, esta será divulgada después de 90 días, lo que permitirá a los fabricantes implementar parches y asegurar sus dispositivos frente a los ataques demostrados en el concurso.

Si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.