Pwn2Own Toronto 2023 đã bắt đầu và đi được hơn một nửa cuộc thi với kết quả tính đến hết ngày thi thứ hai thì Viettel vẫn đang là đội dẫn đầu và đã giành được 120.000 USD tiền thưởng cùng với 18 điểm Master of Pwn (điểm dùng để xếp hạng các đội chơi).
Pwn2Own là cuộc thi hack do ZDI của Trend Micro tổ chức dành cho các nhà nghiên cứu bảo mật trên toàn thế giới. Người dự thi được thử thách khai thác các phần mềm, thiết bị trong phạm vi của cuộc thi để tìm ra lỗ hổng chưa được biết trước đó.
Trong Pwn2Own Toronto 2023, người chơi có thể nhắm mục tiêu vào các thiết bị di động và thiết bị IoT, bao gồm điện thoại di động (Apple iPhone 14, Google Pixel 7, Samsung Galaxy S23 và Xiaomi 13 Pro), máy in, bộ định tuyến không dây, thiết bị lưu trữ NAS, home automation hub, hệ thống giám sát, loa thông minh (smart speaker) cũng như các thiết bị Pixel Watch và Chromecast của Google, tất cả đều ở cấu hình mặc định và chạy các bản cập nhật bảo mật mới nhất, với tổng tiền thưởng có thể nhận được lên đến hơn 1.000.000$.
Trong ngày đầu tiên của cuộc thi, các nhà nghiên cứu đã giành được 438.750 USD tiền thưởng cho 23 lỗ hổng zero-day được khai thác thành công. Trong đó, Viettel là đội đứng đầu bảng xếp hạng với 10 điểm Master of Pwn và giành được 70.000 USD tiền thưởng sau khi thử nghiệm thành công 3 khai thác trên các thiết bị Xiaomi 13 Pro (40,000$ và 4 điểm Master of Pwn), QNAP TS-464 (20,000$ và 4 điểm Master of Pwn) và Canon imageCLASS MF753Cdw (10,000$ và 2 điểm Master of Pwn).
Theo sau đó là đội Pentest Limited và STAR Labs SG, cả hai đều giành được 9 điểm Master of Pwn và đã nhận được 90.000 USD và 45.000 USD tiền thưởng tương ứng.
Kết quả xếp hạng sau ngày thi đầu tiên
Vào ngày thi thứ 2, các nhà nghiên cứu đã thử nghiệm thành công hơn mười khai thác và giành thêm 362.500 USD tiền thưởng. Viettel tiếp tục giữ vị trí đứng đầu bảng xếp hạng với việc giành thêm 8 điểm Master of Pwn và 50.000 USD tiền thưởng cho hai thử nghiệm thành công trên thiết bị Sonos Era 100 (30,000$ và 6 điểm Master of Pwn) và HP Color LaserJet Pro MFP 4301fdw (20,000$ và 2 điểm Master of Pwn).
Orca là đội chơi xếp vị trí thứ hai ngay sau Viettel, đã giành được 16 điểm Master of Pwn và 110.000 USD tiền thưởng.
Kết quả xếp hạng sau ngày thi thứ hai
Các thiết bị đã bị khai thác trong hai ngày đầu của cuộc thi bao gồm Samsung Galaxy S23 và Xiaomi 13 Pro, máy in, loa thông minh, thiết bị lưu trữ NAS, camera,…
Ban tổ chức giải thích rằng: "Chỉ có thử nghiệm đầu tiên trong một hạng mục mới giành được toàn bộ giải thưởng tiền mặt, nhưng mỗi thử nghiệm tấn công thành công sẽ nhận được toàn bộ số điểm Master of Pwn".
“Vì thứ tự thực hiện được xác định bằng cách rút thăm ngẫu nhiên, những người thử nghiệm sau vẫn có thể nhận được danh hiệu Master of Pwn - ngay cả khi họ giành được khoản tiền thưởng thấp hơn.”
Tiền thưởng cao nhất dành cho các lỗi zero-day trong hạng mục điện thoại di động lên tới 300.000$ cho người hack iPhone 14.
Khai thác thành công các thiết bị của Google và Apple sẽ mang lại thêm 50.000 đô tiền thưởng nếu mã khai thác được thực thi với đặc quyền mức kernel, nâng phần thưởng tối đa có thể có cho một thử nghiệm lên tổng số 350.000$.
Sau khi cuộc thi kết thúc, các nhà cung cấp có 90 ngày để vá các lỗi zero-day được khai thác và tiết lộ trong Pwn2Own trước khi Zero Day Initiative công bố các chi tiết kỹ thuật.
Bạn có thể xem thông tin lịch trình và cập nhật kết quả cuộc thi tại đây.
Nguồn: Zerodayinitiative.com.
Tín nhiệm mạng | Mã khai thác cho các lỗ hổng nghiêm trọng ảnh hưởng đến các sản phẩm, ứng dụng của Citrix và Vmware đã được công khai.
Tín nhiệm mạng | 1Password, một nền tảng quản lý mật khẩu phổ biến được hơn 100.000 doanh nghiệp sử dụng, đã gặp sự cố bảo mật sau khi tin tặc giành được quyền truy cập vào hệ thống quản lý ID Okta.
Tín nhiệm mạng | Citrix đang cảnh báo các quản trị viên phải bảo mật tất cả các thiết bị NetScaler ADC và Gateway ngay lập tức trước các cuộc tấn công khai thác lỗ hổng CVE-2023-4966 đang diễn ra
Tín nhiệm mạng | Các nhà nghiên cứu bảo mật đã hack thành công Samsung Galaxy S23 hai lần trong ngày đầu tiên của cuộc thi hack Pwn2Own 2023 tại Toronto, Canada.
Tín nhiệm mạng | Các cơ quan chính phủ ở khu vực Châu Á - Thái Bình Dương (APAC) đang bị nhắm mục tiêu trong một chiến dịch gián điệp mạng có tên là TetrisPhantom.
Tín nhiệm mạng | Hai lỗ hổng bảo mật nghiêm trọng được phát hiện trong phần mềm cloud cá nhân CasaOS mã nguồn mở có thể cho phép kẻ tấn công khai thác để thực thi mã tùy ý và chiếm quyền điều khiển các hệ thống bị ảnh hưởng.