Am ersten Tag des renommierten Hackerwettbewerbs Pwn2Own 2022, der dieses Jahr im kanadischen Toronto stattfindet, haben Sicherheitsexperten unter anderem Drucker von Canon, HP und Lexmark sowie Router von Synology und TP Link geknackt. Auch Samsungs aktuelles Flaggschiff-Smartphone Galaxy S22 hielt den Angriffen nicht stand.
Zu Beginn des Wettbewerbs führte ein Nutzer namens Nettitude einen Stack basierten Pufferüberlauf gegen den Canon-Drucker ImageClass MF743Cdw aus. Dafür erhielt er ein Preisgeld von 20.000 Dollar. Denselben Betrag erhielten zwei Mitarbeiter von Qrious Secure die zwei Fehler im WAN-Interface des TP-Link-Routers AX1800 vorführten. Dabei gelang es ihnen, Befehle auf dem Router auszuführen.
Horizon3 AI präsentierte ebenfalls einen Command Injection Angriff, und zwar gegen einen Lexmark MC3224i, während Gaurav Baruah denselben Angriff gegen das WAN-Interface des Synology-Routers R/6600ax startete. Beide Forscher erhielten für ihre erfolgreichen Attacken jeweils 20.000 Dollar.
Im dritten Anlauf war es erneut ein Stack basierter Pufferüberlauf, der einen Drucker für einen Hacker zugänglich machte. Interrupt Labs führte diese Attacke erfolgreich gegen einen HP Color LaserJet Pro M479fdw aus. Danach zeigte Star Labs, dass Samsungs Galaxy S22 bestimmte Eingaben nicht korrekt prüft – für die Schwachstelle wurden 50.000 Dollar ausgeschüttet.
Im weiteren Verlauf des Tages wurden der Synology-Router RT6600ax, HPs Color LaserJet Pro M479fdw sowie Samsungs Galaxy S22 jeweils ein weiteres Mal gehackt. Außerdem wurde erstmals ein Hack in der Kategorie SOHO Smashup vorgeführt. Mitarbeiter von Devcore kombinierten zwei Pufferüberläufe in einem Mikrotik-Router sowie einem Canon-Drucker, um die Kontrolle über den Drucker zu übernehmen. Dafür erhielten sie eine Belohnung von 100.000 Dollar.
40.000 Dollar gingen an Claroty Research für die Verknüpfung von drei Bugs, die es ihnen erlaubte, die Kontrolle über das Synology-NAS DiskStation DS920+ zu übernehmen. Zum Abschluss des Tages wurde schließlich noch ein weiterer SOHO Smashup präsentiert. Die Verbindung von drei Bugs in einem Netgear-Router und einem HP-Drucker brachten Neodyme 50.000 Dollar ein.
Insgesamt wurden am ersten Tag Prämien in Höhe von 400.000 Dollar für 26 unterschiedliche Sicherheitslücken ausgezahlt. Die Sicherheitsforscher übergeben für die Preisgelder alle Details der von ihnen entdeckten Schwachstellen an die Zero Day Initiative als Veranstalter des Hackerwettbewerbs. ZDI wiederum informiert die jeweiligen Hersteller über die Fehler in ihren Produkten.
LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…
Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…
Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…
Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…
Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.
Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…