Pwn2Own Ireland 2024 第 2 天:参与者演示了针对三星 Galaxy S24 的漏洞攻击

阅读量31116

发布时间 : 2024-10-25 10:59:13

x
译文声明

本文是翻译文章,文章原作者 Pierluigi Paganini,文章来源:securityaffairs

原文地址:https://securityaffairs.com/170221/hacking/pwn2own-ireland-2024-day-two.html

译文仅供参考,具体内容表达以及含义原文为准。

在 Pwn2Own Ireland 2024 的第二天,研究人员展示了针对三星 Galaxy S24 的漏洞攻击。

在 Pwn2Own Ireland 2024 的第二天,黑客们展示了针对 51 个零日漏洞的攻击,总共获得了 358,625 美元的奖金,我们将这些奖金与活动第一天参赛者获得的 516,250 美元奖金相加。

加上活动首日参赛者获得的 516,250 美元,趋势科技零日计划 (ZDI) 组织的黑客大赛的总奖金已接近 85 万美元,而且还有两天的时间。

“今天,我们发放了 358,625 美元的奖金,使活动总奖金达到了 847,875 美元。越南电信网络安全团队在’Master of Pwn’比赛中遥遥领先,但还有两天时间,情况仍有可能发生变化。”

来自 NCC Group 的 Ken Gannon 演示了当天的漏洞利用,他利用五个漏洞链入侵了一台三星 Galaxy S24 设备,获得了一个 shell 并安装了一个应用程序。

确认 NCC Group (@NCCGroupInfosec) 的 Ken Gannon (@yogehi) 利用包括路径遍历在内的 5 个不同漏洞,在 #Samsung Galaxy S24 上获取了一个 shell 并安装了一个应用程序。他获得了 50,000 美元和 5 点 Pwn 大师积分。#Pwn2Own #P2OIreland pic.twitter.com/2Mt5Jc0P2t

– 零日计划 (@thezdi) 2024 年 10 月 23 日

他利用涉及五个漏洞的漏洞链赚取了 50,000 美元,并获得了一个 shell 和 5 个 Pwn 大师积分。

PHP Hooligans / Midnight Blue (@midnightbluelab) 利用命令注入漏洞在 Synology BeeStation BST150-4T 上执行代码。该团队获得了 40,000 美元和四个 Pwn 大师积分。

已确认!PHP Hooligans / Midnight Blue (@midnightbluelab) 使用指令注入 bug 在 Synology BeeStation BST150-4T 上執行程式碼。他们获得了 40,000 美元和 4 点 Pwn 大师积分。#Pwn2Own #P2OIreland pic.twitter.com/tRW8f20NU8

– 零日计划 (@thezdi) 2024 年 10 月 23 日

来自 @Reverse_Tactics 的 Corentin BAYET (@OnlyTheDuck) 利用三个漏洞将 QNAP QHora-322 与 QNAP TS-464 相连,获得了 41,750 美元和 8.5 点 Pwn 大师积分,尽管其中一个漏洞之前已被使用过。

DEVCORE 研究团队的 NiNi (@terrynini38514) 演示了针对 AeoTec 智能家居集线器的 “加密签名验证不当 ”漏洞。他们获得了 40,000 美元和 4 点 Pwn 大师积分。

Pwn2Own Ireland 2024 第二天展示的其他漏洞利用针对 Sonos Era 300 智能音箱、佳能和惠普打印机、Lorex 和 Ubiquiti 摄像机以及 QNAP 和 Synology NAS 设备。

本文翻译自securityaffairs 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66