Pwn2Own 2022: Drucker, Router und Samsung Galaxy S22 gehackt

Am ersten Tag des renommierten Hackerwettbewerbs Pwn2Own 2022, der dieses Jahr im kanadischen Toronto stattfindet, haben Sicherheitsexperten unter anderem Drucker von Canon, HP und Lexmark sowie Router von Synology und TP Link geknackt. Auch Samsungs aktuelles Flaggschiff-Smartphone Galaxy S22 hielt den Angriffen nicht stand.

Zu Beginn des Wettbewerbs führte ein Nutzer namens Nettitude einen Stack basierten Pufferüberlauf gegen den Canon-Drucker ImageClass MF743Cdw aus. Dafür erhielt er ein Preisgeld von 20.000 Dollar. Denselben Betrag erhielten zwei Mitarbeiter von Qrious Secure die zwei Fehler im WAN-Interface des TP-Link-Routers AX1800 vorführten. Dabei gelang es ihnen, Befehle auf dem Router auszuführen.

Horizon3 AI präsentierte ebenfalls einen Command Injection Angriff, und zwar gegen einen Lexmark MC3224i, während Gaurav Baruah denselben Angriff gegen das WAN-Interface des Synology-Routers R/6600ax startete. Beide Forscher erhielten für ihre erfolgreichen Attacken jeweils 20.000 Dollar.

SOHO Smashup bringt 100.000 Dollar

Im dritten Anlauf war es erneut ein Stack basierter Pufferüberlauf, der einen Drucker für einen Hacker zugänglich machte. Interrupt Labs führte diese Attacke erfolgreich gegen einen HP Color LaserJet Pro M479fdw aus. Danach zeigte Star Labs, dass Samsungs Galaxy S22 bestimmte Eingaben nicht korrekt prüft – für die Schwachstelle wurden 50.000 Dollar ausgeschüttet.

Im weiteren Verlauf des Tages wurden der Synology-Router RT6600ax, HPs Color LaserJet Pro M479fdw sowie Samsungs Galaxy S22 jeweils ein weiteres Mal gehackt. Außerdem wurde erstmals ein Hack in der Kategorie SOHO Smashup vorgeführt. Mitarbeiter von Devcore kombinierten zwei Pufferüberläufe in einem Mikrotik-Router sowie einem Canon-Drucker, um die Kontrolle über den Drucker zu übernehmen. Dafür erhielten sie eine Belohnung von 100.000 Dollar.

Drei Bugs in einem Netgear-Router

40.000 Dollar gingen an Claroty Research für die Verknüpfung von drei Bugs, die es ihnen erlaubte, die Kontrolle über das Synology-NAS DiskStation DS920+ zu übernehmen. Zum Abschluss des Tages wurde schließlich noch ein weiterer SOHO Smashup präsentiert. Die Verbindung von drei Bugs in einem Netgear-Router und einem HP-Drucker brachten Neodyme 50.000 Dollar ein.

Insgesamt wurden am ersten Tag Prämien in Höhe von 400.000 Dollar für 26 unterschiedliche Sicherheitslücken ausgezahlt. Die Sicherheitsforscher übergeben für die Preisgelder alle Details der von ihnen entdeckten Schwachstellen an die Zero Day Initiative als Veranstalter des Hackerwettbewerbs. ZDI wiederum informiert die jeweiligen Hersteller über die Fehler in ihren Produkten.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

11 Stunden ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

16 Stunden ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

16 Stunden ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

2 Tagen ago

Rechenzentrumsnetzwerke als Schlüssel für Desaster Recovery

Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.

2 Tagen ago

Cybersecurity mit KI: Strategischer Vorteil oder Sicherheitsrisiko?

Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…

2 Tagen ago