Cuộc thi Pwn2Own Ireland 2024 đã kết thúc vào thứ Sáu vừa qua, với giải thưởng trị giá 1.066.625 đô la cho hơn 70 lỗ hổng zero-day khác nhau trên các thiết bị đã được áp dụng bản vá đầy đủ.
Viettel Cyber Security là đội chiến thắng và nhận được giải thưởng "Master of Pwn" khi giành được tổng cộng 33 điểm Master of Pwn cùng khoản tiền thưởng 205.000 đô la cho các lỗ hổng được thử nghiệm thành công trên QNAP NAS, loa Sonos và máy in Lexmark.
Pwn2Own Ireland là cuộc thi giữa các nhà nghiên cứu bảo mật với nhiều sản phẩm phần mềm và phần cứng khác nhau để giành danh hiệu "Master of Pwn" bằng cách xâm nhập mục tiêu ở tám hạng mục, từ điện thoại di động, ứng dụng nhắn tin, thiết bị tự động hóa gia đình và loa thông minh đến máy in, hệ thống giám sát, thiết bị lưu trữ mạng (NAS) và SOHO Smash-up.
Cuộc thi Pwn2Own lần này là lần thứ tư liên tiếp mà các nhà nghiên cứu vượt qua mốc giải thưởng một triệu đô la.
Trong ngày cuối cùng của cuộc thi, các nhà nghiên cứu bảo mật đã khai thác thành công các thiết bị từ Lexmark, True NAS và QNAP. Cụ thể:
- Đội Smoking Barrels đã khai thác thành công hai lỗ hổng trong TrueNAS X. Mặc dù một trong số đó đã được sử dụng trước đó trong cuộc thi, đội vẫn giành được 20.000 đô la và 2 điểm Master of Pwn
- Nhóm Cluck đã kết hợp chuỗi 06 lỗ hổng để chuyển từ QNAP QHora-322 sang Lexmark CX331adwe. Một trong các lỗ hổng đã được sử dụng nhưng họ cũng đã giành được 23.000 đô la và điểm Master of Pwn cho việc khai thác thành công
- Viettel Cyber Security khai thác thành công trên TrueNAS Mini X thông qua hai lỗ hổng. Chuỗi khai thác dựa vào một lỗi đã phát hiện trước đó trong cuộc thi, tuy nhiên họ vẫn giành được 20.000 đô và 2 điểm Master of Pwn.
- PHP Hooligans/Midnight Blue đã sử dụng một lỗi integer overflow để khai thác máy in Lexmark, giúp họ giành được 10.000 đô và 2 điểm Master of Pwn.
Sự kiện Pwn2Own tiếp theo dự kiến diễn ra vào ngày 22 tháng 1 năm 2025 tại Tokyo, Nhật Bản.
Sự kiện tập trung vào ngành công nghiệp ô tô và có bốn hạng mục dành cho người tham gia: Tesla, Hệ thống thông tin giải trí trên xe (IVI), Bộ sạc xe điện và Hệ điều hành.
Zero Day Initiative (ZDI) đã công bố thông tin chi tiết về các hạng mục và giải thưởng tiền mặt cho việc khai thác thành công. Các quy tắc của cuộc thi có sẵn tại đây.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã thêm một lỗ hổng nghiêm trọng ảnh hưởng đến Microsoft SharePoint vào danh mục Lỗ hổng đã khai thác (KEV) vào thứ Ba, trích dẫn bằng chứng về việc khai thác tích cực.
Tín nhiệm mạng | VMware đã phát hành bản cập nhật phần mềm để giải quyết lỗ hổng bảo mật đã được vá trong vCenter Server có thể dẫn đến việc thực thi mã từ xa.
Tín nhiệm mạng | Viettel đang dẫn đầu bảng xếp hạng kết quả với 80.000 USD tiền thưởng và 13 điểm Master of Pwn (điểm dùng để xếp hạng các đội chơi) sau ngày đầu tiên của cuộc thi Pwn2Own Ireland 2024.
Tín nhiệm mạng | Các trang web WordPress đang bị tấn công để cài đặt các plugin độc hại hiển thị các bản cập nhật phần mềm giả mạo và lỗi nhằm phát tán mã độc đánh cắp thông tin.
Tín nhiệm mạng | Một số tác nhân đe dọa chưa xác định đang cố khai thác lỗ hổng bảo mật hiện đã được vá trong phần mềm webmail Roundcube nguồn mở trong một chiến dịch tấn công lừa đảo nhằm đánh cắp thông tin đăng nhập của người dùng.
Tín nhiệm mạng | CISA đã thêm ba lỗ hổng vào danh mục 'Các lỗ hổng bị khai thác đã biết', bao gồm lỗ hổng hardcoded credentials nghiêm trọng trong SolarWinds Web Help Desk đã được nhà cung cấp khắc phục vào cuối tháng 8 năm 2024.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
