Новости Хакеры на соревнованиях Pwn2Own взломали NAS, принтеры и камеры видеонаблюдения

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.044
Репутация
11.695
Реакции
61.864
RUB
50
На Pwn2Own Ireland 2024 эксперты по кибербезопасности показали 38 успешных атак, используя 0-day уязвимости.

Взломаны сетевые хранилища (NAS), принтеры, IP-камеры и умные колонки. Общий призовой фонд достиг почти миллиона долларов.

Четыре дня атак принесли множество результатов. Хакеры взламывали популярные устройства — от смартфонов до систем хранения данных и умных колонок. Все они работали на актуальных прошивках, с установленными последними обновлениями.

Хакеры на соревнованиях Pwn2Own взломали NAS, принтеры и камеры видеонаблюдения


Особое внимание привлекли сетевые хранилища. Например, QNAP TS-464 была успешно атакована четыре раза. Уязвимости включали использование оставленных в прошивке криптографических ключей и ошибки в проверке сертификатов. Модель QNAP QHora-322 была взломана шесть раз, и за одну из атак с использованием SQL-инъекций хакеры получили $100,000.

IP-камеры тоже были уязвимы. Камера Lorex 2K WiFi взломана пять раз, хакеры использовали переполнение буфера. Призы за взломы этой камеры составили $30,000 и $15,000. Камеру Synology TC500 также взломали через переполнение буфера, за что взломщики получили $30,000.

Принтеры также стали целью хакеров. Модели от Lexmark, HP и Canon были успешно взломаны с использованием уязвимостей переполнения стека и ошибок обработки типов данных. Премии за взломы варьировались от $5,000 до $20,000.

Умные колонки не остались в стороне. Sonos Era 300 была взломана трижды — хакеры использовали переполнение буфера и ошибки с обращением к уже освобождённой памяти. За эти атаки выплачено до $60,000.

Не все попытки оказались успешными. Время на взлом было ограничено, и некоторые атаки не уложились в отведённый срок. Неудачные попытки были зафиксированы при взломах IP-камер от Synology и Lorex, принтеров Canon и Lexmark, а также нескольких моделей NAS.

Организаторы выплатили $993,625 за успешные взломы, ещё раз показав, насколько уязвимы даже современные устройства с последними обновлениями безопасности. Все подробности об уязвимостях будут опубликованы позже — производителям предоставили 90 дней для выпуска патчей.


 
Сверху Снизу