Pwn2Own 2022: Drucker, Router und Samsung Galaxy S22 gehackt

Am ersten Tag des renommierten Hackerwettbewerbs Pwn2Own 2022, der dieses Jahr im kanadischen Toronto stattfindet, haben Sicherheitsexperten unter anderem Drucker von Canon, HP und Lexmark sowie Router von Synology und TP Link geknackt. Auch Samsungs aktuelles Flaggschiff-Smartphone Galaxy S22 hielt den Angriffen nicht stand.

Zu Beginn des Wettbewerbs führte ein Nutzer namens Nettitude einen Stack basierten Pufferüberlauf gegen den Canon-Drucker ImageClass MF743Cdw aus. Dafür erhielt er ein Preisgeld von 20.000 Dollar. Denselben Betrag erhielten zwei Mitarbeiter von Qrious Secure die zwei Fehler im WAN-Interface des TP-Link-Routers AX1800 vorführten. Dabei gelang es ihnen, Befehle auf dem Router auszuführen.

Horizon3 AI präsentierte ebenfalls einen Command Injection Angriff, und zwar gegen einen Lexmark MC3224i, während Gaurav Baruah denselben Angriff gegen das WAN-Interface des Synology-Routers R/6600ax startete. Beide Forscher erhielten für ihre erfolgreichen Attacken jeweils 20.000 Dollar.

SOHO Smashup bringt 100.000 Dollar

Im dritten Anlauf war es erneut ein Stack basierter Pufferüberlauf, der einen Drucker für einen Hacker zugänglich machte. Interrupt Labs führte diese Attacke erfolgreich gegen einen HP Color LaserJet Pro M479fdw aus. Danach zeigte Star Labs, dass Samsungs Galaxy S22 bestimmte Eingaben nicht korrekt prüft – für die Schwachstelle wurden 50.000 Dollar ausgeschüttet.

Im weiteren Verlauf des Tages wurden der Synology-Router RT6600ax, HPs Color LaserJet Pro M479fdw sowie Samsungs Galaxy S22 jeweils ein weiteres Mal gehackt. Außerdem wurde erstmals ein Hack in der Kategorie SOHO Smashup vorgeführt. Mitarbeiter von Devcore kombinierten zwei Pufferüberläufe in einem Mikrotik-Router sowie einem Canon-Drucker, um die Kontrolle über den Drucker zu übernehmen. Dafür erhielten sie eine Belohnung von 100.000 Dollar.

Drei Bugs in einem Netgear-Router

40.000 Dollar gingen an Claroty Research für die Verknüpfung von drei Bugs, die es ihnen erlaubte, die Kontrolle über das Synology-NAS DiskStation DS920+ zu übernehmen. Zum Abschluss des Tages wurde schließlich noch ein weiterer SOHO Smashup präsentiert. Die Verbindung von drei Bugs in einem Netgear-Router und einem HP-Drucker brachten Neodyme 50.000 Dollar ein.

Insgesamt wurden am ersten Tag Prämien in Höhe von 400.000 Dollar für 26 unterschiedliche Sicherheitslücken ausgezahlt. Die Sicherheitsforscher übergeben für die Preisgelder alle Details der von ihnen entdeckten Schwachstellen an die Zero Day Initiative als Veranstalter des Hackerwettbewerbs. ZDI wiederum informiert die jeweiligen Hersteller über die Fehler in ihren Produkten.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Europas RZ-Kapazität wächst bis 2027 um ein Fünftel

Laut Immobilienmarktbeobachter Savills entspricht dieser Ausbau dem jährlichen Energiebedarf von mehr als einer halben Million…

17 Stunden ago

Gartner: 2024 steigen die IT-Ausgaben weltweit um 7,5 Prozent

Den stärksten Anstieg im Vergleich zu 2023 zeigen Systeme für Rechenzentren und Software.

1 Tag ago

LLM-Benchmark für CRM

Laut Salesforce soll der LLM-Benchmark Unternehmen die Bewertung von generativen KI-Modellen für Geschäftsanwendungen ermöglichen.

1 Tag ago

Sicher in die KI-Ära

"Wir härten kontinuierlich unsere eigene Infrastruktur, um Sicherheitsvorfälle zu verhindern", sagt Sven Kniest von Okta.

2 Tagen ago

KI für IT-Security: Feuer mit Feuer bekämpfen

"Moderne IT-Infrastruktur kann gute Fachkräfte nicht ersetzen, aber sie kann die Symptome lindern", sagt Stephan…

3 Tagen ago

Metaversum: Arbeitsplatz der Zukunft mit dem Mensch im Mittelpunkt

Vom 17. bis 19. Juli findet das größte Event für Tech-Recruiting und Employer Branding auf…

4 Tagen ago