วันที่สี่ของงาน Pwn2Own Ireland 2024 ถือว่าเป็นวันสุดท้ายของการแข่งขันแฮ็ก โดยมีเงินรางวัลมากกว่า 1 ล้านดอลลาร์จากการค้นพบช่องโหว่ Zero-Day กว่า 70 รายการในอุปกรณ์ที่ได้รับการอัปเดตล่าสุด
การแข่งขันแฮ็กนี้เป็นความท้าทายให้เหล่านักวิจัยด้านความปลอดภัยเจาะระบบในซอฟต์แวร์ และฮาร์ดแวร์หลายประเภท เพื่อชิงตำแหน่ง "Master of Pwn" โดยมีเป้าหมายให้เจาะระบบใน 8 หมวดหมู่ ตั้งแต่โทรศัพท์มือถือ, แอปพลิเคชันส่งข้อความ, ระบบอัตโนมัติที่ใช้ในบ้าน, ลำโพงอัจฉริยะ, เครื่องพิมพ์, ระบบเฝ้าระวัง, อุปกรณ์จัดเก็บข้อมูลเครือข่าย (NAS) ไปจนถึงอุปกรณ์สำนักงานขนาดเล็ก (SOHO Smash-up)
Pwn2Own ครั้งนี้นับเป็นปีที่สี่ติดต่อกันที่เหล่า white-hat แฮ็กเกอร์สามารถคว้ารางวัลรวมเกินหนึ่งล้านดอลลาร์ โดยทำยอดรวมทั้งหมดได้ถึง 1,066,625 ดอลลาร์
ในวันสุดท้ายของการแข่งขัน นักวิจัยด้านความปลอดภัยสามารถโจมตีอุปกรณ์ Lexmark, True NAS และ QNAP ได้สำเร็จ
Team Smoking Barrels ใช้ช่องโหว่สองรายการใน TrueNAS X แม้ว่าหนึ่งในช่องโหว่จะเคยถูกใช้มาก่อนในการแข่งขัน แต่ยังคงได้รับเงินรางวัล 20,000 ดอลลาร์ และ 2 คะแนนสำหรับตำแหน่ง Master of Pwn
Team Cluck ใช้ช่องโหว่ทั้งหมด 6 รายการเพื่อย้ายจากอุปกรณ์ QNAP QHora-322 ไปยัง Lexmark CX331adwe แม้ว่าจะมีหนึ่งช่องโหว่ที่เคยถูกนำมาใช้แล้ว แต่ยังคงได้รับเงินรางวัล 23,000 ดอลลาร์ และคะแนน Master of Pwn สำหรับการแฮ็กที่สำเร็จครั้งนี้
Viettel Cyber Security ทำการโจมตี TrueNAS Mini X ด้วยการใช้ช่องโหว่ 2 รายการในการแฮ็ก แม้ว่าจะมีช่องโหว่หนึ่งรายการที่เคยปรากฏในการแข่งขันก่อนหน้านี้ แต่การสาธิตนี้ยังได้รับเงินรางวัล 20,000 ดอลลาร์ และ 2 คะแนน Master of Pwn
PHP Hooligans / Midnight Blue ใช้ช่องโหว่แบบ integer overflow ในการโจมตี Lexmark printer ซึ่งทำให้พวกเขาได้รับเงินรางวัล 10,000 ดอลลาร์ และ 2 คะแนน Master of Pwn
Viettel Cyber Security ได้รับรางวัล "Master of Pwn" หลังจากสะสมคะแนน Master of Pwn รวม 33 คะแนน พวกเขาได้รับเงินรางวัล 205,000 ดอลลาร์สำหรับช่องโหว่ใน QNAP NAS, Sonos speakers และ Lexmark printers
งาน Pwn2Own ครั้งถัดไปมีกำหนดจัดขึ้นในวันที่ 22 มกราคม 2025 ที่กรุงโตเกียว ประเทศญี่ปุ่น
โดยงานนี้มุ่งเน้นไปที่อุตสาหกรรมยานยนต์ และมีสี่หมวดหมู่สำหรับผู้เข้าร่วม ได้แก่ Tesla, ระบบความบันเทิงภายในรถ (IVI), เครื่องชาร์จรถยนต์ไฟฟ้า และระบบปฏิบัติการรถยนต์
Zero Day Initiative (ZDI) ได้เผยแพร่รายละเอียดเกี่ยวกับหมวดหมู่ และเงินรางวัลสำหรับการโจมตีที่ประสบความสำเร็จ กฎของการแข่งขันสามารถดูได้ที่นี่
ที่มา : bleepingcomputer