Skip to content
สอบถามสินค้าและบริการ LINE: @monsteronline โทร.02-026-6664
สอบถามสินค้าและบริการ LINE: @monsteronline โทร.02-026-6664
Pwn2Own
October 29, 2024 Nutthakorn Chalaemwongwan

แฮ็กเกอร์คว้าเงินล้าน! เจาะระบบกว่า 70 ช่องโหว่ในงานแข่งขัน Pwn2Own

การแข่งขันแฮ็ก Pwn2Own Ireland 2024 สิ้นสุดลงแล้ว โดยแฮ็กเกอร์สามารถคว้าเงินรางวัลรวมกว่า 1 ล้านเหรียญสหรัฐจากการค้นพบช่องโหว่ Zero-day ที่ไม่เคยถูกค้นพบมาก่อนกว่า 70 รายการในอุปกรณ์ที่ผ่านการอัปเดตแพตช์เต็มรูปแบบ งานนี้เป็นสนามท้าประลองให้เหล่านักวิจัยด้านความปลอดภัยได้ทดสอบฝีมือบนผลิตภัณฑ์ซอฟต์แวร์และฮาร์ดแวร์ใน 8 ประเภท ได้แก่ โทรศัพท์มือถือ แอปพลิเคชันส่งข้อความ ระบบอัตโนมัติในบ้าน ลำโพงอัจฉริยะ เครื่องพิมพ์ ระบบเฝ้าระวัง อุปกรณ์จัดเก็บข้อมูลแบบเชื่อมต่อกับเครือข่าย (NAS) และอุปกรณ์เชื่อมต่อในเครือข่ายสำนักงาน (SOHO) ซึ่งผู้ชนะจะได้รับตำแหน่ง "Master of Pwn"

การแข่งขันครั้งนี้นับเป็นปีที่ 4 ติดต่อกันที่เหล่าแฮ็กเกอร์หมวกขาวสามารถคว้าเงินรางวัลรวมได้กว่า 1 ล้านเหรียญสหรัฐ โดยในช่วงวันสุดท้ายของการแข่งขัน นักวิจัยด้านความปลอดภัยได้ประสบความสำเร็จในการใช้ช่องโหว่ในอุปกรณ์จาก Lexmark, TrueNAS และ QNAP ดังนี้:

  • ทีม Smoking Barrels ใช้ช่องโหว่สองจุดใน TrueNAS X แม้ว่าหนึ่งในนั้นจะเคยถูกใช้มาก่อนแล้ว แต่ก็ยังสามารถคว้าเงินรางวัล 20,000 เหรียญสหรัฐ พร้อมคะแนน Master of Pwn 2 คะแนน
  • ทีม Cluck ใช้ช่องโหว่หกจุดโจมตีจากอุปกรณ์ QNAP QHora-322 ไปยังเครื่องพิมพ์ Lexmark CX331adwe ทำให้ได้รับเงิน 23,000 เหรียญสหรัฐและคะแนน Master of Pwn
  • Viettel Cyber Security ใช้ช่องโหว่สองจุดใน TrueNAS Mini X และสามารถคว้าเงินรางวัล 20,000 เหรียญสหรัฐ พร้อมคะแนน Master of Pwn 2 คะแนน
  • ทีม PHP Hooligans / Midnight Blue ใช้ช่องโหว่การล้นของข้อมูลเพื่อโจมตีเครื่องพิมพ์ Lexmark ทำให้ได้รับเงิน 10,000 เหรียญสหรัฐและคะแนน Master of Pwn 2 คะแนน

ในปีนี้ ทีม Viettel Cyber Security คว้าตำแหน่ง "Master of Pwn" ไปครองด้วยคะแนนรวมสูงสุด 33 คะแนน และเงินรางวัลรวม 205,000 เหรียญสหรัฐจากการใช้ช่องโหว่ใน QNAP NAS, ลำโพง Sonos และเครื่องพิมพ์ Lexmark

ตารางคะแนนสุดท้ายของ Pwn2Own Ireland 2024

ตารางคะแนนสุดท้ายของ Pwn2Own Ireland 2024
ที่มา: Zero Day Initiative

สำหรับการแข่งขัน Pwn2Own ครั้งถัดไปจะจัดขึ้นที่กรุงโตเกียว ประเทศญี่ปุ่น ในวันที่ 22 มกราคม 2025 โดยมุ่งเน้นไปที่อุตสาหกรรมยานยนต์ และมีการแบ่งประเภทการโจมตีออกเป็น 4 หมวด ได้แก่ Tesla, ระบบอินโฟเทนเมนต์ในรถยนต์ (IVI), เครื่องชาร์จรถยนต์ไฟฟ้า และระบบปฏิบัติการ ทั้งนี้ Zero Day Initiative (ZDI) จะประกาศรายละเอียดเพิ่มเติมเกี่ยวกับเงินรางวัลและกฎเกณฑ์การเข้าร่วมแข่งขันในเร็วๆ นี้

ข้อมูลจาก https://www.bleepingcomputer.com/news/security/over-70-zero-day-flaws-get-hackers-1-million-at-pwn2own-ireland/

Filed in: Cybersecurity, HackingCompetition, Lexmark, Pwn2Own, Pwn2OwnIreland2024, QNAP, ZeroDay, ข่าวด่วน
Previous article การรั่วไหลของฐานข้อมูล LoyLap, Jason RAT ตัวใหม่ และช่องโหว่ของ Supercell ถูกนำมาขายในเว็บมืด
Next article ช่องโหว่ SonicWall กลายเป็นประตูหลังให้แรนซัมแวร์เข้าถึงระบบ

Leave a comment

* Required fields