Categories: Cloud

Pwn2Own: Hacker knacken NAS-Geräte, Router und Drucker

Beim der diesjährigen Herbstausgabe des Hackerwettbewerbs Pwn2Own stehen derzeit im texanischen Austin unter anderem Drucker, Router und Netzwerkspeicher (NAS) im Mittelpunkt. An den ersten beiden Tagen wurden bereits zahlreiche zuvor unbekannte Schwachstellen präsentiert, die den Teilnehmern oftmals eine vollständige Kontrolle über die gehackten Geräte ermöglichten. Betroffen sind unter anderem Produkte von Western Digital, Cisco und Canon.

Bereits am Dienstag zeigte Sam Thomas von Pentest Limited, wie Schadcode auf einem NAS der My Cloud Pro Series von Western Digital ausführen lässt, was ihm eine Prämie von 40.000 Dollar einbrachte. Im Anschluss kompromittierte ein Forscher namens Bien Pham das WAN-Interface eines Cisco-Routers vom Typ RV340 – für eine Belohnung von 30.000 Dollar.

Ebenfalls am ersten Tag wurden ein ImageClass-Drucker von Canon, ein Router von TP-Link (AC1750), ein Router von Netgear (R6700v3) sowie ein Sonos-One-Lautsprecher und ein Color LaserJet Pro von HP geknackt. Zudem präsentierten Teilnehmer weitere erfolgreiche Attacken gegen NAS-Geräte von Western Digital, die Router von TP-Link und Netgear sowie den Canon-Drucker.

Am gestrigen zweiten Tag folgten weitere zehn erfolgreiche Angriffe. Sie richteten sich gegen das Cloud-Pro-Series-NAS von Western Digital, den Cisco-Router, den Canon-Drucker, den Sonos-One-Lautsprecher und einen Lexmark-Drucker (MC3224i). Letzteren nahmen Teilnehmer sogar gleich dreimal erfolgreich ins Visier.

An den verbleibenden beiden Tagen des Wettbewerbs, der am Freitag endet, sollen weitere Sicherheitslücken in den genannten Produkten vorgeführt werden. Eine für morgen angekündigte Präsentation könnte allerdings für Aufsehen sorgen: Sam Thomas von Pentest Limited will die vollständige Kontrolle über ein komplett gepatchtes Samsung Galaxy S21 übernehmen. Ein Angriffsversuch auf das aktuelle Flaggschiff von Samsung war bereits am Dienstag gescheitert – eine gestern vorgeführte Schwachstelle war zudem Samsung bereits bekannt.

Ungeschoren werden nach der derzeitigen Planung unter anderem Smartphones von Google und Apple, Smart-Home-Produkte von Google, Apple und Amazon, Smart-TVs von Sony und Samsung, NAS-Geräte von Synology und eine externe Festplatte von SanDisk davonkommen.

Pwn2Own wird von der zu Trend Micro gehören Zero Day Initiative ausgerichtet. Die Teilnehmer erhalten für jede erfolgreich vorgeführte Schwachstelle eine Prämie, während die Zero Day Initiative alle technischen Details an die jeweiligen Hersteller übergibt. Diese haben allerdings nur 120 Tage Zeit, um einen Patch zu entwickeln. Nach Ablauf der Frist behält sie die Zero Day Initiative das Recht vor, die Sicherheitslücken vollständig offenzulegen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Braucht der Mittelstand eine Sovereign Cloud?

"In der Regel nicht", sagt Oliver Queck von Skaylink im Interview.

10 Stunden ago

Lockbit wirklich endgültig zerschlagen?

Trotz des großen Erfolgs der Operation "Cronos" warnen Security-Experten vor zu frühen Feiern.

1 Tag ago

Umfrage: In diesen Branchen soll KI den Personalmangel lindern

Eine Mehrheit der Deutschen spricht sich für mehr KI in der Industrie und im Transportwesen…

1 Tag ago

Kaspersky: Jeder Fünfte von digitalem Stalking betroffen

42% der Nutzer:innen berichten von Gewalt oder Missbrauch durch eigenen Partner. 17% wurden bereits ohne…

1 Tag ago

Handwerker-Recruiting 2.0

Warum ChatGPT bei der Mitarbeitergewinnung den Unterschied machen kann, verrät Julian Jehn von Jehn &…

2 Tagen ago

NIS 2: “Zeitlich wird es knackig”

Es stellt sich nicht die Frage, ob Unternehmen NIS 2 noch schaffen, sondern eher wie,…

2 Tagen ago