La segunda edición del evento Pwn2Own de este año finalizó con éxito, con investigadores y firmas de seguridad recaudando más de $1 millón en recompensas.
Los participantes han comprometido con éxito dispositivos NAS, enrutadores, impresoras y teléfonos móviles. En general, surgieron alrededor de 60 vulnerabilidades de día cero en todo el evento, al explotar fallas conocidas y desconocidas.
Aspectos destacados del evento Pwn2Own 2021
El segunda iteración de Pwn2Own 2021 llegó a su fin esta semana, donde la atención se centró en enrutadores, impresoras, dispositivos NAS y teléfonos. La primera iteración se centró en fallas superficiales en Microsoft Exchange Server, macOS, Windows 10 y Teams.
Ahora, en el transcurso de 4 días, varios investigadores individuales y empresas de seguridad han descubierto más de 60 nuevas vulnerabilidades de día cero en 58 intentos. Estos incluyen explotar una sola falla crítica o encadenar varias fallas de menor riesgo para lograr la ejecución remota del código.
Los mejores equipos incluyen Seguridad Synactivque ganó alrededor de $ 197,500 en pagos y 20 puntos “Master of Pwn”, seguido por el investigadores devcore: Orange Tsai, Angelboy y Meh Chang, quienes realizaron seis ataques exitosos para reclamar alrededor de $180,000 en recompensas en efectivo. Investigadores en río nulo tomó el pago final al explotar dos fallas en el enrutador Netgear R6700v3.
Los principales dispositivos que se están explotando incluyen el enrutador Cisco RV340, donde los investigadores realizaron nueve ataques exitosos utilizando fallas conocidas y desconocidas anteriormente. El siguiente es la caja NAS Western Digital My Cloud Pro Series PR4100, que tuvo nueve robos exitosos y fue el dispositivo popular del evento.
Marcando como el primero en la historia de Pwn2Own, los investigadores también han comprometido con éxito impresoras, incluidas la Canon ImageCLASS MF644Cdw o Lexmark MC3224i, que tenían diez entradas diferentes lanzadas en su contra.
En general, Pwn2Own pagó alrededor de $ 1,081,250 en recompensas durante la competencia de cuatro días y recibió 60 nuevas vulnerabilidades de día cero a cambio de todos los investigadores.
