Pwn2Own Tokyo已经结束,比赛充满了戏剧性和刺激性。在比赛的第三天也是最后一天,大赛共发放了37,500美元奖励,用于奖励4个设备上的6个错误。第三填以DEVCORE团队在Western Digital My Cloud Pro系列PR4100 NAS上成功演示代码执行错误链作为开始。他们使用六个错误链来获取其根shell,其中两个错误以前已经报告过。他们为自己的胜利赢得了$ 17,500和1.5Pwn大师积分。
图1-演示Western Digital NAS上的根shell
Bugscale团队针对NETGEAR Nighthawk R7800路由器的LAN接口。遗憾的是,他们未能在规定的时间内发挥作用。
图2-Bugscale团队未能在规定时间内完成操作
Pwn2Own新人Gaurav Baruah瞄准Western Digital My Cloud Pro系列PR4100。成功演示如何在设备上获得root shell。同样,他使用的方法先前已在比赛中报告过,获得Pwn大师1分。
图3-Gaurav Baruah观看他的示范获得了root shell
Viettel网络安全团队再次参加了比赛。针对索尼X800智能电视进行攻击演示,演示从完全修补的设备中读取敏感文件。同理,他们使用的方法也是众所周知的。此算是胜利一半,仅Pwn大师得1分。
图4-公开Sony智能电视中的敏感文件
在比赛的最后决赛中,STARLabs团队以Synology DiskStation DS418Play NAS为目标。结合竞争条件和“越界”(OOB)读取,在设备上获得root shell。他们因此赢得了20,000美元和2个Pwn积分。
图5-STARLabs团队观察到ZDI Bug提取人员在Synology NAS上展示了其root shell
从而结束了另一个令人兴奋的Pwn2Own事件。在计算完所有积分之后,Flashback团队名列前茅,并获得了本次比赛的Pwn大师奖。
在整个比赛中,共对六种不同设备上的23个独特错误展开攻击测试,此次共提供136,500美元奖金 。供应商已收到这些错误的详细信息,现在他们有120天的时间来生成安全补丁来解决报告的问题。Pwn2Own 是国际顶尖级黑客大赛,Pwn2Own是全世界最著名、奖金最丰厚的黑客大赛,由美国五角大楼网络安全服务商、惠普旗下TippingPoint的项目组ZDI(Zero Day Initiative)主办,谷歌、微软、苹果、Adobe等互联网和软件巨头都对比赛提供支持,通过黑客攻击挑战来完善自身产品。关注国内外安全资讯,方可不断提升安全意识,把好安全第一道防线。
