Windows 10, Linux, iOS, Chrome and Many Others at Hacked Tianfu Cup 2021
2021/10/17 TheHackerNews — 中国の成都市で開催された、国際的なサイバーセキュリティ・コンテストの第4回大会 Tianfu Cup 2021 において、これまでにないオリジナルのエクスプロイトが使用され、Windows 10/iOS 15/Google Chrome/Apple Safari/Microsoft Exchange Server/Ubuntu 20 などへの侵入に成功した。
今年のターゲットは、Windows 10 21H1 で動作する Google Chrome および、Macbook Proで動作する Apple Safari、Adobe PDF Reader、Docker CE、Ubuntu 20/CentOS 8、Microsoft Exchange Server 2019、Windows 10、VMware Workstation、VMware ESXi、Parallels Desktop、iOS 15 を搭載した iPhone 13 Pro、Android を搭載した中国製スマホ、QEMU VM、Synology DS220j DiskStation、ASUS RT-AX56U ルーターなどだった。
この、中国版 Pwn2Own は、国家安全保障上の懸念から、セキュリティ研究者が海外でのハッキング大会に参加することを禁止するという、同国の政府規制を受けて 2018年にスタートしました。Synology DS220j NAS および、Xiaomi Mi 11 スマートフォン、中国製の無名の電気自動車を除いて、すべてのターゲットに対して攻撃を成功させたという。
- Adobe PDF Reader
- Apple iPhone 13 Pro (running iOS 15)
- Apple Safari
- ASUS RT-AX56U
- Docker CE
- Google Chrome
- Microsoft Exchange Server
- Microsoft Windows 10
- Parallels Desktop
- QEMU VM
- Ubuntu 20/CentOS 8
- VMware ESXi
- VMWare Workstation
この大会は、10月16日と17日の2日間にわたって開催され、セキュリティ研究者たちは賞金を獲得した。モバイル Safari のリモートコード実行の欠陥を含む、iOS 15 のエクスプロイトを15秒以内に成功させた Kunlun Lab がトップ ($654,500) に輝いた。また、Kunlun Lab の CEOである @mj0011 は、「たった2つのバグを用いて、Windows システムのカーネル・レベルの権限を獲得した」とツイートしている。2位の Team PangU は、iOS 15 を搭載した iPhone13 Pro のリモート脱獄を披露し、公開の場で新発売の iPhone モデルを初めてクラックしたことで、$522,500 を獲得した。また、3位の Vulnerability Research Institute (VRI) は $392,500 を獲得した。
これらの脆弱性の詳細は公表されていないが、今後の数週間のうちに、新たに発見された欠陥に対するパッチが、上記の企業からリリースされる予定だという。
ハッキング・コンテストというと Pwn2Own が有名で、今年のトピックとしては「Windows 10 と Exchange と Teams が Pwn2Own でハックされてしまった」という記事をポストしました。本文にもあるように、中国のセキュリティ研究者が、海外のハッキング大会に参加することは禁止ということですが、言い換えると、セキュリティ研究者は極めて重要なリソースと言うことなのでしょう。
IoT OT Security News 