Onderzoekers hebben tijdens de Pwn2Own-wedstrijd in Austin aangetoond hoe ze door middel van een kwetsbaarheid in een HP Laserjet-printer AC/DC's Thunderstruck kunnen afspelen. Het was één van de in totaal 61 beveiligingslekken die onderzoekers tijdens het vierdaagse evenement demonstreerden. Getroffen leveranciers hebben 120 dagen de tijd gekregen om met beveiligingsupdates te komen.
Pwn2Own is een jaarlijks terugkerende wedstrijd waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden in populaire producten. Tijdens de editie in Austin moesten met name printers, routers en NAS-systemen het ontgelden. Voor het eerst waren printers als onderdeel toegevoegd. Het ging om de HP Color LaserJet Pro MFP M283fdw, Lexmark MC3224i en Canon ImageCLASS MF644Cdw.
Onderzoekers wisten de printers meerdere keren te compromitteren en zo willekeurige code uit te voeren. Bij één van de demonstraties lieten onderzoekers van antivirusbedrijf F-Secure zien hoe ze de printer via een aangesloten usb-speaker AC/DC's Thunderstruck konden laten afspelen. De aanval werd met 20.000 dollar beloond. De hoogste beloningen waren echter voor twee succesvolle aanvallen op de One Speaker van Sonos. Via kwetsbaarheden in de smartspeaker kan een aanvaller willekeurige code uitvoeren. Beide demonstraties werden elk met 60.000 dollar beloond. Een succesvolle aanval op een Samsung Galaxy S21 leverde onderzoeker Sam Thomas 50.000 dollar op.
De meeste kwetsbaarheden werden gedemonstreerd in de Western Digital My Cloud Pro Series PR4100 en de 3TB My Cloud Home Personal Cloud van WD, alsmede de Cisco RV340-router. Details over de in totaal 61 gevonden kwetsbaarheden zijn met de betreffende leveranciers gedeeld, zodat die beveiligingsupdates kunnen ontwikkelen. Dit moet binnen 120 dagen gebeuren, anders zal de organisatie achter Pw2nOwn de details openbaar maken. In totaal werd er meer dan 1 miljoen dollar aan prijzengeld uitgekeerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.