Pwn2Own Ireland 2024 第 2 天：参与者演示了针对三星 Galaxy S24 的漏洞攻击

在 Pwn2Own Ireland 2024 的第二天，研究人员展示了针对三星 Galaxy S24 的漏洞攻击。

在 Pwn2Own Ireland 2024 的第二天，黑客们展示了针对 51 个零日漏洞的攻击，总共获得了 358,625 美元的奖金，我们将这些奖金与活动第一天参赛者获得的 516,250 美元奖金相加。

加上活动首日参赛者获得的 516,250 美元，趋势科技零日计划 (ZDI) 组织的黑客大赛的总奖金已接近 85 万美元，而且还有两天的时间。

“今天，我们发放了 358,625 美元的奖金，使活动总奖金达到了 847,875 美元。越南电信网络安全团队在’Master of Pwn’比赛中遥遥领先，但还有两天时间，情况仍有可能发生变化。”

来自 NCC Group 的 Ken Gannon 演示了当天的漏洞利用，他利用五个漏洞链入侵了一台三星 Galaxy S24 设备，获得了一个 shell 并安装了一个应用程序。

确认 NCC Group (@NCCGroupInfosec) 的 Ken Gannon (@yogehi) 利用包括路径遍历在内的 5 个不同漏洞，在 #Samsung Galaxy S24 上获取了一个 shell 并安装了一个应用程序。他获得了 50,000 美元和 5 点 Pwn 大师积分。#Pwn2Own #P2OIreland pic.twitter.com/2Mt5Jc0P2t

– 零日计划 (@thezdi) 2024 年 10 月 23 日

他利用涉及五个漏洞的漏洞链赚取了 50,000 美元，并获得了一个 shell 和 5 个 Pwn 大师积分。

PHP Hooligans / Midnight Blue (@midnightbluelab) 利用命令注入漏洞在 Synology BeeStation BST150-4T 上执行代码。该团队获得了 40,000 美元和四个 Pwn 大师积分。

已确认！PHP Hooligans / Midnight Blue (@midnightbluelab) 使用指令注入 bug 在 Synology BeeStation BST150-4T 上執行程式碼。他们获得了 40,000 美元和 4 点 Pwn 大师积分。#Pwn2Own #P2OIreland pic.twitter.com/tRW8f20NU8

– 零日计划 (@thezdi) 2024 年 10 月 23 日

来自 @Reverse_Tactics 的 Corentin BAYET (@OnlyTheDuck) 利用三个漏洞将 QNAP QHora-322 与 QNAP TS-464 相连，获得了 41,750 美元和 8.5 点 Pwn 大师积分，尽管其中一个漏洞之前已被使用过。

DEVCORE 研究团队的 NiNi (@terrynini38514) 演示了针对 AeoTec 智能家居集线器的 “加密签名验证不当 ”漏洞。他们获得了 40,000 美元和 4 点 Pwn 大师积分。

Pwn2Own Ireland 2024 第二天展示的其他漏洞利用针对 Sonos Era 300 智能音箱、佳能和惠普打印机、Lorex 和 Ubiquiti 摄像机以及 QNAP 和 Synology NAS 设备。