1 millón de dólares en 4 días: hackers convierten vulnerabilidades en oro

El cuarto día de la competencia Pwn2Own Ireland 2024 concluyó con un premio acumulado de más de un millón de dólares por el hallazgo de más de 70 vulnerabilidades de día cero en dispositivos completamente actualizados.

Durante el concurso, los especialistas en ciberseguridad evaluaron la seguridad de diversos productos de software y hardware, compitiendo por el título de "Master of Pwn". Los participantes se enfrentaron en ocho categorías: teléfonos móviles, mensajería, sistemas de automatización del hogar y altavoces inteligentes, impresoras, sistemas de videovigilancia, almacenamiento en red y la categoría SOHO Smash-up.

Este evento se convirtió en el cuarto consecutivo donde los hackers éticos superaron la marca del millón de dólares, obteniendo un total de $1,066,625. En la fase final, los participantes realizaron ataques exitosos a dispositivos de Lexmark, TrueNAS y QNAP.

• El equipo Smoking Barrels identificó dos vulnerabilidades en TrueNAS X. Aunque una de las vulnerabilidades ya se había utilizado anteriormente, el equipo recibió $20,000 y 2 puntos Master of Pwn por la explotación exitosa.
• El equipo Cluck aplicó una cadena de seis vulnerabilidades para pasar del dispositivo QNAP QHora-322 al Lexmark CX331adwe. Aunque uno de los elementos vulnerables ya había sido utilizado anteriormente, los participantes ganaron $23,000 y recibieron puntos Master of Pwn.
• Los especialistas de Viettel Cyber Security demostraron un ataque en TrueNAS Mini X utilizando dos vulnerabilidades. Su cadena también incluyó una vulnerabilidad vista previamente en la competencia, pero obtuvieron $20,000 y 2 puntos Master of Pwn por su demostración.
• El grupo PHP Hooligans / Midnight Blue aprovechó una vulnerabilidad de desbordamiento de enteros para explotar exitosamente una impresora Lexmark, ganando $10,000 y 2 puntos Master of Pwn.

El título "Master of Pwn" fue ganado por Viettel Cyber Security, con 33 puntos y $205,000 obtenidos por vulnerabilidades encontradas en NAS QNAP, altavoces Sonos e impresoras Lexmark.

Clasificación final del Pwn2Own Ireland 2024 (Fuente: Zero Day Initiative )

El próximo concurso Pwn2Own se celebrará el 22 de enero de 2025 en Tokio, Japón. El tema principal del evento será la industria automotriz con cuatro categorías para los participantes: Tesla, sistemas de infoentretenimiento, cargadores de vehículos eléctricos y sistemas operativos. Zero Day Initiative (ZDI) ya ha publicado detalles sobre las categorías y los premios para los ataques exitosos.

El primer día, los hackers encontraron 52 vulnerabilidades de día cero, el segundo día otras 51 . El tercer día destacó con exitosas presentaciones de los equipos Viettel Cyber Security, DEVCORE y PHP Hooligans/Midnight Blue, que identificaron 11 nuevas vulnerabilidades de día cero.