Categories: Cloud

Pwn2Own: Hacker knacken NAS-Geräte, Router und Drucker

Beim der diesjährigen Herbstausgabe des Hackerwettbewerbs Pwn2Own stehen derzeit im texanischen Austin unter anderem Drucker, Router und Netzwerkspeicher (NAS) im Mittelpunkt. An den ersten beiden Tagen wurden bereits zahlreiche zuvor unbekannte Schwachstellen präsentiert, die den Teilnehmern oftmals eine vollständige Kontrolle über die gehackten Geräte ermöglichten. Betroffen sind unter anderem Produkte von Western Digital, Cisco und Canon.

Bereits am Dienstag zeigte Sam Thomas von Pentest Limited, wie Schadcode auf einem NAS der My Cloud Pro Series von Western Digital ausführen lässt, was ihm eine Prämie von 40.000 Dollar einbrachte. Im Anschluss kompromittierte ein Forscher namens Bien Pham das WAN-Interface eines Cisco-Routers vom Typ RV340 – für eine Belohnung von 30.000 Dollar.

Ebenfalls am ersten Tag wurden ein ImageClass-Drucker von Canon, ein Router von TP-Link (AC1750), ein Router von Netgear (R6700v3) sowie ein Sonos-One-Lautsprecher und ein Color LaserJet Pro von HP geknackt. Zudem präsentierten Teilnehmer weitere erfolgreiche Attacken gegen NAS-Geräte von Western Digital, die Router von TP-Link und Netgear sowie den Canon-Drucker.

Am gestrigen zweiten Tag folgten weitere zehn erfolgreiche Angriffe. Sie richteten sich gegen das Cloud-Pro-Series-NAS von Western Digital, den Cisco-Router, den Canon-Drucker, den Sonos-One-Lautsprecher und einen Lexmark-Drucker (MC3224i). Letzteren nahmen Teilnehmer sogar gleich dreimal erfolgreich ins Visier.

An den verbleibenden beiden Tagen des Wettbewerbs, der am Freitag endet, sollen weitere Sicherheitslücken in den genannten Produkten vorgeführt werden. Eine für morgen angekündigte Präsentation könnte allerdings für Aufsehen sorgen: Sam Thomas von Pentest Limited will die vollständige Kontrolle über ein komplett gepatchtes Samsung Galaxy S21 übernehmen. Ein Angriffsversuch auf das aktuelle Flaggschiff von Samsung war bereits am Dienstag gescheitert – eine gestern vorgeführte Schwachstelle war zudem Samsung bereits bekannt.

Ungeschoren werden nach der derzeitigen Planung unter anderem Smartphones von Google und Apple, Smart-Home-Produkte von Google, Apple und Amazon, Smart-TVs von Sony und Samsung, NAS-Geräte von Synology und eine externe Festplatte von SanDisk davonkommen.

Pwn2Own wird von der zu Trend Micro gehören Zero Day Initiative ausgerichtet. Die Teilnehmer erhalten für jede erfolgreich vorgeführte Schwachstelle eine Prämie, während die Zero Day Initiative alle technischen Details an die jeweiligen Hersteller übergibt. Diese haben allerdings nur 120 Tage Zeit, um einen Patch zu entwickeln. Nach Ablauf der Frist behält sie die Zero Day Initiative das Recht vor, die Sicherheitslücken vollständig offenzulegen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Bericht: Nvidia gibt Übernahme von ARM auf

Angeblich trifft der US-Chiphersteller erste Vorbereitungen für die Rücknahme seines Kaufangebots. Auslöser sind die geringen…

12 Stunden ago

Topics: Google stellt neuen Cookie-Nachfolger vor

Er löst den gescheiterten Vorschlag FLoC ab. Google verspricht mit Topics mehr Transparenz und Einflussnahme…

13 Stunden ago

Microsoft steigert Umsatz und Gewinn im zweiten Fiskalquartal

Die Cloud-Sparte ist erneut ein wichtiger Wachstumsmotor. Aber selbst das Geschäft mit Windows-OEM-Lizenzen erzielt ein…

14 Stunden ago

Aktives Scannen: den Hackern einen Schritt voraus

In der vernetzten Produktion wachsen IT und OT zusammen. Damit steigt das Sicherheitsrisiko deutlich bis…

1 Tag ago

Covid-19-Impfkampagne: Digitale Koordination von Impfterminen

Kassenärztliche Vereinigung Schleswig-Holstein setzt auf Online-Portal mit Oracle-Technologie.

2 Tagen ago

Allianz Risk Barometer 2022: Cyberangriffe weltweites Top-Risiko für Unternehmen

Elfte Umfrage der Allianz: Cyber, Betriebsunterbrechung und Naturkatastrophen sind weltweit die drei größten Geschäftsrisiken in…

2 Tagen ago