Printers Hacked for First Time at Pwn2Own
2021/11/03 SecurityWeek — この火曜日に、Zero Day Initiative が主催する 2021年のハッキング・コンテスト Pwn2Own Austin が開幕され、プリンターのハッキングで報酬を獲得する参加者が、このイベント史上初めて登場した。デバイスのハッキングに焦点を当てた Pwn2Own Austin の初日も、ホワイトハット・ハッカーたちは、プリンター/NAS デバイス/ルーター/スマートスピーカーに関するエクスプロイトを実演し、総額で $360,000 以上の賞金を獲得した。
初日には、2つのチームがプリンターを標的にし、合計で $60,000 を獲得した。Synacktiv のチームは、Canon ImageCLASS プリンタをハッキングして、この部門のエクスプロイトの最高賞金額である $20,000 を獲得した。また、Devcore のチームは、Canon ImageCLASS プリンタと HP Color LaserJet Pro MFP M283fdw プリンタの脆弱性を悪用して、合計で $40,000 を獲得した。Pwn2Own Austin は 11月5日まで開催され、さまざまなチームが、さらに多くのプリンタの脆弱性を公開する予定だ。
Devcore チームは、Sonos One スマート・スピーカーのコード実行に成功し、最高の報酬額である $60,000 を獲得した。これは、Sonos One のハッキングに関連する最高の報酬でもある。また、Western Digital の NAS製品を対象とした3種類のエクスプロイトでは、それぞれの参加者に $40,000 が支払われ、Cisco のルーターを対象としたハックでは $30,000 の報酬が支払われた。初日には、Samsung Galaxy S21 のハッキング失敗があったが、このデバイスへのチャレンジも、今後2回ほどある予定だ。なお、テレビや外部記憶装置は、現時点では誰にも狙われていない。
4月に開催された、ソフトウェアに特化した Pwn2Own では、参加者はブラウザ/仮想化/サーバー//エンタープライズ・コミュニケーションなどの各カテゴリーで、合計 $1.2 million 以上の賞金を獲得した。
各種のハッキング・コンテストの中には、さらに高額な報酬を得られるものもある。最近、中国で開催された Tianfu Cup では、$1.9 million の賞金が支払われた。ただし Tianfu Cup では、Windows 10/Ubuntu/iPhone 13 Pro iOS 15/Microsoft Exchange/Chrome/Safari/Adobe Reader/Parallels Desktop/QEMU/Docker/VMware ESXi/VMware Workstation/ASUS Router などが対象となり、ソフトウェアとハードウェアのハッキングが1回のイベントに含まれている。
4月に開催された Pwn2Own ソフトウェア編については、「Windows 10 と Exchange と Teams が Pwn2Own でハックされてしまった」を、中国の Tianfu については、「中国の Tianfu ハッキングコンテスト:Windows 10/Linux/iOS などが陥落」と「Chrome 95 ゼロデイ脆弱性と中国の Tianfu Cup ハッキング・コンテスト」をポストしています。よろしければ ご参照ください。
IoT OT Security News 