Resultados del Pwn2Own Toronto 2022
Se dio a conocer mediante una publicación los resultados de los cuatro días de la competición Pwn2Own Toronto 2022, durante los cuales se demostraron 63 vulnerabilidades previamente desconocidas (0-day) en dispositivos móviles, impresoras, altavoces inteligentes, sistemas de almacenamiento y routers.
Para quienes desconocen del Pwn2Own, deben saber que este es un concurso de hacking que se lleva a cabo anualmente en la conferencia de seguridad CanSecWest. Celebrado por primera vez en abril de 2007 en Vancouver.
En esta nueva edicion del concurso participaron 36 equipos e investigadores de seguridad. El equipo DEVCORE más exitoso logró ganar 142 mil dólares estadounidenses de la competencia. Los ganadores del segundo lugar (Equipo Viettel) recibieron $82,000 y los ganadores del tercer lugar (grupo NCC) recibieron $78,000.
Durante esta competencia, 26 equipos e investigadores de seguridad se han centrado en dispositivos en las categorías de teléfonos móviles, centros de automatización del hogar, impresoras, enrutadores inalámbricos, almacenamiento conectado a la red y parlantes inteligentes, todos actualizados y en su configuración predeterminada.
“¡Y hemos terminado! Todos los resultados del Día Cuatro están abajo. Otorgamos otros $55,000 hoy, elevando el total de nuestro concurso a $989,750. Durante el concurso, compramos 63 días cero únicos. El título de Master of Pwn llegó hasta el final, pero el equipo de DEVCORE reclamó su segundo título con ganancias de $142,500 y 18.5 puntos”. lee el post publicado por ZDI. “El equipo Viettel y el grupo NCC estaban muy cerca con 16,5 y 15,5 puntos respectivamente. Felicitaciones a todos los concursantes y ganadores de Pwn2Own”.
En el cuarto día de la competencia, el investigador Chris Anastasio demostró un desbordamiento de búfer basado en almacenamiento dinámico contra la impresora Lexmark. Ganó $10,000 y 1 punto Master of Pwn.
Durante la competencia, se demostraron ataques que llevaron a la ejecución remota de código en dispositivos:
- Impresora Canon imageCLASS MF743Cdw (11 ataques exitosos, bonos de $5,000 y $10,000).
- Impresora Lexmark MC3224i (8 ataques, primas de $7500, $10000 y $5000).
- Impresora HP Color LaserJet Pro M479fdw (5 ataques, bonos de $5,000, $10,000 y $20,000).
- Altavoz inteligente Sonos One Speaker (3 ataques, bonos de $22,500 y $60,000).
- Synology DiskStation DS920+ NAS (dos ataques, primas de $40 000 y $20 000).
- WD My Cloud Pro PR4100 NAS (3 premios de $20 000 y un premio de $40 000).
- Enrutador Synology RT6600ax (5 ataques WAN con primas de $20 000 y dos primas de $5000 y $1250 por un ataque LAN).
- Enrutador de servicios integrados de Cisco C921-4P ($37,500).
- Enrutador Mikrotik RouterBoard RB2011UiAS-IN ($100 000 de prima por piratería multietapa: el enrutador Mikrotik fue atacado primero y luego, después de obtener acceso a la LAN, la impresora Canon).
- Enrutador NETGEAR RAX30 AX2400 (7 ataques, bonos de $1250, $2500, $5000, $7500, $8500 y $10000).
- Enrutador TP-Link AX1800/Archer AX21 (ataque por WAN, prima de $20 000 y ataque por LAN, prima de $5000).
- Enrutador Ubiquiti EdgeRouter X SFP ($50,000).
- Teléfono inteligente Samsung Galaxy S22 (4 ataques, tres premios de $ 25,000 y un premio de $ 50,000).
Además de los ataques exitosos anteriores, fallaron 11 intentos de explotar vulnerabilidades. Ya que durante la competencia también se ofrecieron recompensas por hackear el iPhone 13 de Apple y el Pixel 6 de Google, pero no hubo aplicaciones para ataques, aunque la recompensa máxima por preparar un exploit que permita ejecutar código a nivel de kernel para estos dispositivos fue de 250.000 dólares.
Cabe mencionar que tampoco se reclamaron las recompensas ofrecidas por hackear los sistemas de automatización del hogar Amazon Echo Show 15, Meta Portal Go y Google Nest Hub Max, así como los altavoces inteligentes Apple HomePod Mini, Amazon Echo Studio y Google Nest Audio, por los cuales la recompensa del hackeo fue de $ 60,000.
Por la parte de las vulnerabilidades demostradas en los diversos componentes, los problemas aún no se informaran de manera pública de acuerdo con los términos de la competencia, la información detallada sobre todas las vulnerabilidades de día 0 demostradas se publicará solo después de 120 días, que se dan para la preparación de actualizaciones por parte de los fabricantes para eliminar vulnerabilidades.
Los ataques utilizaron el firmware y los sistemas operativos más recientes con todas las actualizaciones disponibles y en la configuración predeterminada. El monto total de la remuneración pagada fue de 934.750 dólares.
Finalmente si estás interesado en poder conocer más al respecto sobre esta nueva edición del Pwn2Own, puedes consultar los detalles en el siguiente enlace.