Vào ngày đầu tiên của cuộc thi Pwn2Own Automotive 2024, các nhà nghiên cứu bảo mật đã hack thành công một Tesla Modem và thu về tổng số tiền thưởng trị giá 722.500 USD cho 3 lần khai thác trùng lặp và 24 lần khai thác zero-day khác nhau.
Nhóm Synacktiv (@Synacktiv) đã giành được 100.000 USD sau khi xâu chuỗi thành công ba lỗ hổng zero-day để có được quyền root trên Modem Tesla.
Họ cũng sử dụng 2 chuỗi hai lỗ hổng khác nhau để hack Ubiquiti Connect EV Station và JuiceBox 40 Smart EV Charging Station, giành thêm 120.000 USD tiền thưởng.
Chuỗi khai thác thứ ba nhắm vào bộ sạc ChargePoint Home Flex EV đã được thử nghiệm trước đó nhưng vẫn mang về cho họ 16.000 USD, với tổng giải thưởng nhận được là 295.000 USD trong ngày đầu tiên của cuộc thi.
Các nhà nghiên cứu bảo mật khác cũng đã hack thành công nhiều trạm sạc xe điện và hệ thống thông tin giải trí đã được cập nhật bản vá đầy đủ, trong đó nhóm EDG của Tập đoàn NCC chiếm vị trí thứ hai trên bảng xếp hạng sau khi giành được 70.000 đô la cho các khai thác zero-day để hack hệ thống thông tin giải trí Pioneer DMH-WT7600NEX và bộ sạc Phoenix Contact CHARX EV SEC-3100.
Hai nhà nghiên cứu đến từ Việt Nam, Vudq16 (@vudq16) và Le Tran Hai Tung (@tacbliw) cũng đã hack thành công Alpine Halo9 iLX-F509 thuộc danh mục hệ thống thông tin giải trí.
Bảng xếp hạng sau ngày đầu tiên của Pwn2Own Automotive
Cuộc thi hack Pwn2Own Automotive 2024 tập trung vào công nghệ ô tô và diễn ra vào tuần này tại Tokyo, Nhật Bản, trong hội nghị ô tô Automotive World từ ngày 24 đến ngày 26 tháng 1.
Trong suốt cuộc thi, các nhà nghiên cứu bảo mật sẽ có thể nhắm mục tiêu vào các hệ thống thông tin giải trí trên xe (IVI), bộ sạc xe điện (EV) và hệ điều hành ô tô của Tesla (ví dụ: Automotive Grade Linux, BlackBerry QNX, Android Automotive OS).
Họ cũng có thể thử nghiệm trên các hệ thống Tesla Model 3/Y (dựa trên Ryzen) hoặc Tesla Model S/X (dựa trên Ryzen), bao gồm hệ thống thông tin giải trí, modem, bộ dò sóng, mạng không dây và hệ thống lái tự động.
Giải thưởng cao nhất trong cuộc thi lên tới 200.000 USD tiền mặt và một chiếc ô tô Tesla.
Bạn có thể xem lịch trình đầy đủ của cuộc thi hack ô tô năm nay tại đây, lịch trình đầy đủ và kết quả của từng thử thách trong ngày thi đầu tiên tại đây.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Hơn 5.300 máy chủ GitLab tiếp xúc với internet có nguy cơ bị khai thác CVE-2023-7028, một lỗ hổng cho phép chiếm đoạt tài khoản không yêu cầu bất kỳ tương tác của người dùng mà GitLab đã cảnh báo vào đầu tháng này.
Tín nhiệm mạng | Hai package độc hại trên hệ thống quản lý package NPM được phát hiện đã lợi dụng GitHub để lưu trữ các khóa SSH được mã hóa Base64 bị đánh cắp từ hệ thống của các nhà phát triển.
Tín nhiệm mạng | Thứ Hai vừa qua, Ủy ban Chứng khoán và giao dịch của Mỹ đã xác nhận rằng tài khoản X của họ đã bị hack thông qua một cuộc tấn công hoán đổi SIM vào số điện thoại di động được liên kết với tài khoản.
Tín nhiệm mạng | Hôm qua, Apple đã phát hành bản cập nhật bảo mật cho trình duyệt web iOS, iPadOS, macOS, tvOS và Safari để giải quyết lỗ hổng zero-day đang bị khai thác trong thực tế.
Tín nhiệm mạng | Các nhà nghiên cứu bảo mật đã phát hiện các hoạt động khai thác lỗ hổng thực thi mã từ xa CVE-2023-22527 ảnh hưởng đến các phiên bản lỗi thời của máy chủ Atlassian Confluence.
Tín nhiệm mạng | Các ứng dụng vi phạm bản quyền nhắm vào người dùng macOS được phát hiện có chứa một backdoor có khả năng cung cấp cho kẻ tấn công quyền điều khiển từ xa trên các máy bị nhiễm.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
