Pwn2Own Ireland 2024의 넷째 날에는 완전히 패치된 장치에서 70개 이상의 고유한 제로데이 취약점에 대해 100만 달러 이상의 상금이 수여되는 해킹 대회가 끝났습니다.
해킹 콘테스트에서는 보안 연구원들이 다양한 소프트웨어 및 하드웨어 제품을 상대로 경쟁하며, 휴대폰, 메시징 앱, 홈 자동화, 스마트 스피커부터 프린터, 감시 시스템, NAS(Network Attached Storage), SOHO Smash-up 등이 있습니다.
이번 Pwn2Own 에디션은 화이트 해커가 총 상금 $1,066,625를 획득하여 4회 연속으로 백만 달러의 상금을 넘겼습니다.
대회 마지막 날 보안 연구원들은 Lexmark, True NAS 및 QNAP의 장치를 성공적으로 활용했습니다.
- 팀 흡연 배럴 TrueNAS X의 두 가지 취약점을 악용했습니다. 버그 중 하나가 이전에 대회에서 사용되었지만 팀은 여전히 $20,000와 Master of Pwn 포인트 2점을 획득했습니다.
- 팀 클럭 QNAP QHora-322에서 Lexmark CX331adwe로 이동하기 위해 6개의 취약점 체인을 사용했습니다. 결함 중 하나는 이미 사용되었지만 성공적인 악용으로 $23,000와 Master of Pwn 포인트를 받았습니다.
- 비엣텔 사이버 보안 두 가지 버그를 악용하여 TrueNAS Mini X를 표적으로 삼았습니다. 그들의 체인은 또한 이전에 경쟁에서 발견된 버그에 의존했지만 그들의 시연에는 $20,000와 2 Master of Pwn 포인트가 주어졌습니다.
- PHP 훌리건스 / 미드나잇 블루 정수 오버플로 취약점을 활용하여 Lexmark 프린터를 악용하여 $10,000와 Master of Pwn 포인트 2점을 획득했습니다.
Viettel Cyber Security는 총 33개의 Master of Pwn 포인트를 수집하여 “Master of Pwn” 상을 받았습니다. 그들은 QNAP NAS, Sonos 스피커 및 Lexmark 프린터에서 입증된 결함으로 $205,000를 벌었습니다.
출처: 제로데이 이니셔티브
다음 Pwn2Own 이벤트는 2025년 1월 22일에 일본 도쿄에서 열릴 예정입니다.
이번 행사는 자동차 산업에 중점을 두고 있으며 참가자는 Tesla, 차량 내 인포테인먼트(IVI), 전기 자동차 충전기, 운영 체제 등 4개 카테고리로 구성됩니다.
ZDI(Zero Day Initiative)는 성공적인 악용에 대한 카테고리 및 상금에 대한 세부 정보를 공개했습니다. 대회 규칙은 여기에서 확인할 수 있습니다.
