Pwn2Own是趨勢科技(Trend Micro)主辦的世界最知名的駭客大會之一。與以往的Pwn2Own大會不同,這次於日本東京舉辦的首屆Pwn2Own Automotive 2024駭客大賽特別專注於汽車技術,大會時間為1月24日至1月26日,與日本東京汽車技術展Automotive World同時進行。
本次大賽由特斯拉贊助,VicOne和趨勢科技的Zero Day Initiative (ZDI)共同主辦,旨在發現並修復與汽車相關的漏洞。大賽首日戰果已出爐,參賽選手成功入侵了多個裝置,如索尼XAV-AX5500、特斯拉調變解調器和JuiceBox 40智慧電動車充電站等。
這裡列舉了部分參賽選手在Pwn2Own Automotive 2024首日比賽上取得的戰果:
第一位上場的選手Sina Kheirkhah成功攻擊了ChargePoint Home Flex,獲得6個Pwn大師積分和6萬美元的獎勵。
fuzzware.io的Tobias Scharnowski和Felix Buchmann在索尼XAV-AX5500上實施了攻擊,獲得4個大師積分和4萬美元。PHP Hooligans / Midnight Blue團隊對索尼XAV-AX5500進行了堆疊溢位攻擊,獲得4個大師積分和2萬美元。Gary Li Wang利用堆疊溢位漏洞同樣攻擊了索尼XAV-AX5500,獲得4個大師積分和2萬美元。
PCAutomotive團隊成功利用UAF漏洞攻擊了Alpine Halo9 iLX-F509,獲得4個大師積分和4萬美元。Vudq16和Q5CA利用堆疊溢位漏洞同樣是成功攻擊了Alpine Halo9 iLX-F509,獲得4個大師積分和2萬美元。
NCC Group EDG團隊對Pioneer DMH-WT7600NEX進行了漏洞鏈攻擊(3-bug chain),獲得4個大師積分和4萬美元。他們還利用輸入驗證不當漏洞攻擊了Phoenix Contact CHARX SEC-3100,獲得6個大師積分和3萬美元。
Synacktiv團隊透過漏洞鏈攻擊特斯拉調變解調器,贏得了10個大師積分和10萬美元的獎勵。此外,他們還對JuiceBox 40智慧電動汽車充電站進行漏洞鏈攻擊,獲得6個大師積分和6萬美元;對Ubiquiti Connect EV Station進行漏洞鏈攻擊,獲得6個大師積分和6萬美元……
截至目前,Synacktiv的戰果使他們在獎金和積分上都取得了領先地位——共29.5萬美元的獎金和31個Pwn大師積分,遙遙領先於第二位NCC Group EDG的7萬美元和10分。
據瞭解,在Pwn2Own比賽期間利用的零日漏洞被報告後,供應商有90天的時間來開發併發布相應的安全修復程式,之後趨勢科技的ZDI將公開披露這些漏洞。
編輯:左右裡
資訊來源:Trend Micro
轉載請註明出處和本文連結