В первый день Pwn2Own Ireland 2025 исследователи безопасности использовали 34 уникальные уязвимости нулевого дня и получили $522,500 в виде денежных призов.
Основным событием дня стало использование Бонгеуном Ку и Эвангелосом Даравигкасом из команды DDOS восьми уязвимостей нулевого дня для взлома маршрутизатора QNAP Qhora-322 Ethernet через WAN-интерфейс и получения доступа к устройству NAS QNAP TS-453E. За этот успешный эксперимент они выиграли $100,000 и теперь занимают второе место в рейтинге Master of Pwn с 8 очками.
Команда Synacktiv, Сина Кхейркха из команды Summoning, команда DEVCORE и Стивен Фьюэр из Rapid7 также заработали по $40,000 каждый, получив root-доступ к Synology BeeStation Plus, Synology DiskStation DS925+, QNAP TS-453E и Home Assistant Green соответственно.
STARLabs, команда PetoWorks, команда ANHTUD и исследователи Ierae взломали многофункциональный лазерный принтер Canon imageCLASS MF654Cdw четыре раза, при этом STARLabs также взломали умную колонку Sonos Era 300, заработав $50,000, а команда ANHTUD использовала уязвимость в Phillips Hue Bridge, чтобы получить $40,000.
Сина Кхейркха и МакКолей Хадсон из команды Summoning использовали цепочку эксплойтов, комбинирующую две уязвимости нулевого дня, чтобы получить root-доступ к устройству Synology ActiveProtect Appliance DP320 и выиграли еще $50,000.
Команда Summoning в общей сложности заработала $102,500 в первый день конкурса и занимает первое место в рейтинге Master of Pwn с 11,5 очками.
Zero Day Initiative (ZDI) организует мероприятие для выявления уязвимостей безопасности в целевых устройствах до того, как злоумышленники смогут их использовать, координируя ответственное раскрытие с затронутыми поставщиками. После того как уязвимости нулевого дня используются на мероприятиях Pwn2Own, поставщикам дается 90 дней на выпуск обновлений безопасности, прежде чем Zero Day Initiative Trend Micro официально их раскроет.
Конкурс по взлому Pwn2Own Ireland 2025 включает восемь категорий, нацеленных на флагманские смартфоны (Apple iPhone 16, Samsung Galaxy S25 и Google Pixel 9), мессенджеры, умные устройства для дома, принтеры, сетевое оборудование для дома, системы хранения данных, системы видеонаблюдения и носимую технологию (включая смарт-очки Ray-Ban от Meta и гарнитуры Quest 3/3S).
В этом году ZDI также расширил векторы атак для мобильной категории, включив эксплуатацию USB-портов для мобильных телефонов, что требует от участников взлома заблокированных телефонов через физические соединения. Однако традиционные беспроводные протоколы, такие как Bluetooth, Wi-Fi и NFC, остаются действительными векторами атак.
На второй день исследователи безопасности снова будут нацелены на устройства в категориях сетевого хранилища, принтеров, умных домов и систем видеонаблюдения, а также на Samsung Galaxy S25 в категории мобильных телефонов.
Как было объявлено в августе, это также первый раз, когда ZDI предложит награду в размере $1 миллиона исследователям безопасности, которые продемонстрируют эксплойт для WhatsApp, не требующий кликов, что позволяет выполнять код без взаимодействия с пользователем.
Meta, наряду с QNAP и Synology, является соорганизатором конкурса по взлому Pwn2Own Ireland 2025, который проходит с 21 по 24 октября в Корке, Ирландия.
Во время мероприятия Pwn2Own Ireland прошлого года исследователи безопасности заработали $1,078,750 за более чем 70 уязвимостей нулевого дня, при этом Viettel Cyber Security заработала $205,000 за уязвимости в QNAP, Sonos и Lexmark.
В январе 2026 года ZDI вернется на технологическое шоу Automotive World в Токио для своего третьего конкурса Pwn2Own Automotive, при этом Tesla снова станет спонсором.
- Источник: https://www.bleepingcomputer[.]com/...34-zero-days-on-first-day-of-pwn2own-ireland/
Основным событием дня стало использование Бонгеуном Ку и Эвангелосом Даравигкасом из команды DDOS восьми уязвимостей нулевого дня для взлома маршрутизатора QNAP Qhora-322 Ethernet через WAN-интерфейс и получения доступа к устройству NAS QNAP TS-453E. За этот успешный эксперимент они выиграли $100,000 и теперь занимают второе место в рейтинге Master of Pwn с 8 очками.
Команда Synacktiv, Сина Кхейркха из команды Summoning, команда DEVCORE и Стивен Фьюэр из Rapid7 также заработали по $40,000 каждый, получив root-доступ к Synology BeeStation Plus, Synology DiskStation DS925+, QNAP TS-453E и Home Assistant Green соответственно.
STARLabs, команда PetoWorks, команда ANHTUD и исследователи Ierae взломали многофункциональный лазерный принтер Canon imageCLASS MF654Cdw четыре раза, при этом STARLabs также взломали умную колонку Sonos Era 300, заработав $50,000, а команда ANHTUD использовала уязвимость в Phillips Hue Bridge, чтобы получить $40,000.
Сина Кхейркха и МакКолей Хадсон из команды Summoning использовали цепочку эксплойтов, комбинирующую две уязвимости нулевого дня, чтобы получить root-доступ к устройству Synology ActiveProtect Appliance DP320 и выиграли еще $50,000.
Команда Summoning в общей сложности заработала $102,500 в первый день конкурса и занимает первое место в рейтинге Master of Pwn с 11,5 очками.
Zero Day Initiative (ZDI) организует мероприятие для выявления уязвимостей безопасности в целевых устройствах до того, как злоумышленники смогут их использовать, координируя ответственное раскрытие с затронутыми поставщиками. После того как уязвимости нулевого дня используются на мероприятиях Pwn2Own, поставщикам дается 90 дней на выпуск обновлений безопасности, прежде чем Zero Day Initiative Trend Micro официально их раскроет.
Конкурс по взлому Pwn2Own Ireland 2025 включает восемь категорий, нацеленных на флагманские смартфоны (Apple iPhone 16, Samsung Galaxy S25 и Google Pixel 9), мессенджеры, умные устройства для дома, принтеры, сетевое оборудование для дома, системы хранения данных, системы видеонаблюдения и носимую технологию (включая смарт-очки Ray-Ban от Meta и гарнитуры Quest 3/3S).
В этом году ZDI также расширил векторы атак для мобильной категории, включив эксплуатацию USB-портов для мобильных телефонов, что требует от участников взлома заблокированных телефонов через физические соединения. Однако традиционные беспроводные протоколы, такие как Bluetooth, Wi-Fi и NFC, остаются действительными векторами атак.
На второй день исследователи безопасности снова будут нацелены на устройства в категориях сетевого хранилища, принтеров, умных домов и систем видеонаблюдения, а также на Samsung Galaxy S25 в категории мобильных телефонов.
Как было объявлено в августе, это также первый раз, когда ZDI предложит награду в размере $1 миллиона исследователям безопасности, которые продемонстрируют эксплойт для WhatsApp, не требующий кликов, что позволяет выполнять код без взаимодействия с пользователем.
Meta, наряду с QNAP и Synology, является соорганизатором конкурса по взлому Pwn2Own Ireland 2025, который проходит с 21 по 24 октября в Корке, Ирландия.
Во время мероприятия Pwn2Own Ireland прошлого года исследователи безопасности заработали $1,078,750 за более чем 70 уязвимостей нулевого дня, при этом Viettel Cyber Security заработала $205,000 за уязвимости в QNAP, Sonos и Lexmark.
В январе 2026 года ZDI вернется на технологическое шоу Automotive World в Токио для своего третьего конкурса Pwn2Own Automotive, при этом Tesla снова станет спонсором.
- Источник: https://www.bleepingcomputer[.]com/...34-zero-days-on-first-day-of-pwn2own-ireland/