Categories: Cloud

Pwn2Own: Hacker knacken NAS-Geräte, Router und Drucker

Beim der diesjährigen Herbstausgabe des Hackerwettbewerbs Pwn2Own stehen derzeit im texanischen Austin unter anderem Drucker, Router und Netzwerkspeicher (NAS) im Mittelpunkt. An den ersten beiden Tagen wurden bereits zahlreiche zuvor unbekannte Schwachstellen präsentiert, die den Teilnehmern oftmals eine vollständige Kontrolle über die gehackten Geräte ermöglichten. Betroffen sind unter anderem Produkte von Western Digital, Cisco und Canon.

Bereits am Dienstag zeigte Sam Thomas von Pentest Limited, wie Schadcode auf einem NAS der My Cloud Pro Series von Western Digital ausführen lässt, was ihm eine Prämie von 40.000 Dollar einbrachte. Im Anschluss kompromittierte ein Forscher namens Bien Pham das WAN-Interface eines Cisco-Routers vom Typ RV340 – für eine Belohnung von 30.000 Dollar.

Ebenfalls am ersten Tag wurden ein ImageClass-Drucker von Canon, ein Router von TP-Link (AC1750), ein Router von Netgear (R6700v3) sowie ein Sonos-One-Lautsprecher und ein Color LaserJet Pro von HP geknackt. Zudem präsentierten Teilnehmer weitere erfolgreiche Attacken gegen NAS-Geräte von Western Digital, die Router von TP-Link und Netgear sowie den Canon-Drucker.

Am gestrigen zweiten Tag folgten weitere zehn erfolgreiche Angriffe. Sie richteten sich gegen das Cloud-Pro-Series-NAS von Western Digital, den Cisco-Router, den Canon-Drucker, den Sonos-One-Lautsprecher und einen Lexmark-Drucker (MC3224i). Letzteren nahmen Teilnehmer sogar gleich dreimal erfolgreich ins Visier.

An den verbleibenden beiden Tagen des Wettbewerbs, der am Freitag endet, sollen weitere Sicherheitslücken in den genannten Produkten vorgeführt werden. Eine für morgen angekündigte Präsentation könnte allerdings für Aufsehen sorgen: Sam Thomas von Pentest Limited will die vollständige Kontrolle über ein komplett gepatchtes Samsung Galaxy S21 übernehmen. Ein Angriffsversuch auf das aktuelle Flaggschiff von Samsung war bereits am Dienstag gescheitert – eine gestern vorgeführte Schwachstelle war zudem Samsung bereits bekannt.

Ungeschoren werden nach der derzeitigen Planung unter anderem Smartphones von Google und Apple, Smart-Home-Produkte von Google, Apple und Amazon, Smart-TVs von Sony und Samsung, NAS-Geräte von Synology und eine externe Festplatte von SanDisk davonkommen.

Pwn2Own wird von der zu Trend Micro gehören Zero Day Initiative ausgerichtet. Die Teilnehmer erhalten für jede erfolgreich vorgeführte Schwachstelle eine Prämie, während die Zero Day Initiative alle technischen Details an die jeweiligen Hersteller übergibt. Diese haben allerdings nur 120 Tage Zeit, um einen Patch zu entwickeln. Nach Ablauf der Frist behält sie die Zero Day Initiative das Recht vor, die Sicherheitslücken vollständig offenzulegen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

„CryptoRom“-Apps schleichen sich in App-Stores von Apple und Google

Cyberkriminelle unterwandern die Sicherheits-Checks von App-Store-Betreibern mithilfe von sich ändernden Remote-Inhalten.

7 Stunden ago

Podcast: Angriffsketten lassen sich im Darknet buchen

"In der Vergangenheit sind Unternehmen erst dann auf uns zugekommen, wenn das Kind bereits in…

8 Stunden ago

Wir fragen ChatGPT: Macht Verschlüsselung sicherer?

Supersinguläre Isogenie-Kryptografie (SIK) ist ein Ansatz zur Post-Quantum-Kryptografie und Antwort auf die Bedrohung durch quantenbasierte…

11 Stunden ago

ChatGPT und die Zukunft der IT-Security

Wie gefährlich ChatGPT für die IT-Security, und wie gut sind wir darauf vorbereitet? Ein Kommentar…

12 Stunden ago

Joint Venture Cofinity-X treibt Datenökosystem Catena-X an

Cofinity-X soll Aufbau von durchgängigen Datenketten zur Rückverfolgbarkeit von Materialflüssen über die Wertschöpfungskette ermöglichen.

13 Stunden ago

Stiefkind “Digitales Vertragsmanagement”

Digitales, cloudbasiertes Vertragsmanagement bündelt alle Dokumente an einem Ort und automatisiert Fristenmanagement.

13 Stunden ago