漏洞就是黄金
漏洞就是黄金
原创 吉祥 吉祥讲安全 2024-11-22 09:41
wn2Own Ireland 2024 竞赛第四天 结束, 获奖者在完全更新的设备中发现了 70 多个独特的零日漏洞,获得了超过 100 万奖金。
什么是wn2Own
Pwn2Own Ireland 是一个由 Zero Day Initiative (ZDI) 主办的国际性网络安全竞赛。这个比赛聚焦于智能家居和小型办公室环境中常见的设备,包括网络附加存储(NAS)系统、监控摄像头、打印机、智能扬声器、手机、家庭自动化中心和SOHO网络等。参赛的安全研究人员尝试利用零日漏洞(即未公开的漏洞)来攻击这些设备,以赢得“破解大师”(Master of Pwn)的称号。
赛事大奖
比赛期间,网络安全专家对各类软硬件产品进行了漏洞测试,力争赢得“破解大师”的称号。参赛者在八个类别中展开角逐——手机、即时通讯工具、家庭自动化系统和智能音箱、打印机、视频监控系统、网络存储设备和SOHO Smash-up。
此次活动标志着白帽黑客连续第四次突破百万美元大关,最终阶段参与者成功攻击了 Lexmark、TrueNAS 和 QNAP 设备,共获得了 1,066,625 美元的奖金。
Smoking Barrels 团队发现了 TrueNAS X 中的两个漏洞。尽管其中一个漏洞已经被利用,但成功利用该团队仍获得了 20,000 美元和 2 个 Pwn 大师积分。 Cluck 团队利用一系列六个漏洞从 QNAP QHora-322 设备迁移到 Lexmark CX331adwe。尽管其中一种易受攻击的元素之前已被使用过,但参与者仍赚取了 23,000 美元并获得了 Pwn 大师积分。 Viettel 的专家网络安全部门演示了利用两个漏洞对 TrueNAS Mini X 进行的攻击。他们的链还利用了之前在比赛中发现的漏洞,但他们因演示攻击而获得了 20,000 美元和 2 个 Pwn 大师积分。 PHP Hooligans / Midnight Blue 利用整数溢出漏洞成功利用了 Lexmark 打印机,获得了 10,000 美元和 2 个 Master of Pwn 积分。
Viettel荣获“Pwn大师”称号网络安全性,因识别 QNAP NAS、Sonos 扬声器和 Lexmark 打印机中的漏洞而获得 33 分并赚取 205,000 美元。
下一届 Pwn2Own 比赛 将于 2025 年 1 月 22 日在日本东京举行。此次活动的主题将是汽车行业,共有四个类别供参与者:特斯拉、信息娱乐系统、电动汽车充电器和操作系统。
ending
一个人走的很快,但一群人才能地的更远。吉祥同学学安全这个星球🔗
成立了3个月左右,已经有300+的小伙伴了,如果你是网络安全的学生、想转行网络安全行业、需要网安相关的方案、ppt,
戳链接🔗(内有优惠卷)
快加入我们吧。系统性的知识库已经有:《Java代码审计》
++《Web安全》
++《应急响应》