2021 Pwn2Own奥斯汀黑客大赛收关：打印机攻击成亮点

“零日行动”(Zero Day Initiative，ZDI)举办的2021年Pwn2Own奥斯汀黑客竞赛已经结束，参与者因他们在路由器、打印机、NAS设备、智能手机和智能扬声器设备上发现的零日漏洞而获得的总收入超过100万美元。来自法国的Synacktiv团队加冕Pwn大师，获得20个积分，197500美元的奖金。来自台湾的DEVCORE战队名列第二，18个积分，180000美元的奖金。本届大赛的亮点之一是对打印机的攻击挑战，有十一个战队成功实现了对三款主流打印机的入侵，或接管或远程执行代码。

本年度奥斯汀Pwn2Own专注于黑客设备，ZDI称这是迄今为止最大的Pwn2Own。白帽黑客在活动的第一天赚了36.25万美元，第二天赚了41.5万美元，第三天赚了238750美元，还有6.5万美元在第四天被瓜分。在比赛中发现了61个漏洞——这些漏洞通常是由多个漏洞连接起来的——参赛者总共获得了1,081250美元的奖金。

Sonos One智能音箱的奖金最高。有两个团队每人赚了6万美元，他们实现了任意代码执行并控制了设备。

在Pwn2Own的历史上，参与者首次入侵了打印机——活动上展示了11个成功的打印机入侵，为研究人员赚取了近20万美元。主办方选择了HP Color LaserJet Pro MFP M283fdw、利盟Lexmark MC3224i和佳能 ImageCLASS MF644Cdw三款打印机作为靶标。

Pwn2Own上被黑的打印机

对三星Galaxy S21的黑客攻击只有一次成功，还有一次部分成功。成功的入侵尝试获得了5万美元的奖励，部分成功的尝试(包括一个已知的缺陷)获得了2.5万美元的奖励。

在路由器方面，参与者通过入侵思科、Netgear和TP-Link路由器获得了超过24万美元的收入。最高的奖励是3万美元，奖励给了几个通过广域网接口利用思科路由器的团队。

在NAS类别中，黑客从西部数据展示了NAS设备漏洞的利用，共获得44.5万美元。最高的单笔赔偿是4.5万美元，用于破解设备固件的测试版。

总的来说，Synacktiv团队赚了最多的钱，将近20万美元，其次是Devcore团队，18万美元。

值得注意的是，在某些情况下，白帽黑客仍然可以通过他们的漏洞利用获利数万美元，即使他们利用了之前向受影响的供应商披露的漏洞。

在本届Pwn2Own大赛中，还没有人试图入侵电视和外部存储设备。

供应商已经得到了在竞赛中被利用的漏洞的详细信息，他们将有120天的时间发布补丁。

虽然就漏洞利用尝试入侵成功的次数而言，这次奥斯汀黑客大赛是最大的Pwn2Own，但支付的奖金总额略低于4月份举办的 Pwn2Own，那次参与者因入侵Safari、Chrome、Edge、Windows 10、Ubuntu、Microsoft Teams、Zoom、Parallels 和 Microsoft Exchange获得了超过120万美元的奖金 。

参考资源

1、https://www.zerodayinitiative.com/blog/2021/11/1/pwn2ownaustin

2、https://www.securityweek.com/device-exploits-earn-hackers-over-1-million-pwn2own-austin-2021

声明：本文来自网空闲话，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。