এইগুলি হল Pwn2Own Ireland 2024-এর ফলাফল৷

Darkcrizt

4 মিনিট

Pwn2Own আয়ারল্যান্ড 2024

কয়েক দিন আগে এর ফলাফল সাইবার নিরাপত্তা প্রতিযোগিতা "Pwn2Own আয়ারল্যান্ড 2024", যা 22 থেকে 25 অক্টোবর অনুষ্ঠিত হয়েছিল। এই চার দিনে একাধিক সফল আক্রমণ প্রদর্শন করেছে শূন্য দিনের দুর্বলতার উপর ভিত্তি করে যা বিভিন্ন ডিভাইস যেমন স্মার্টফোন, এনএএস সিস্টেম এবং আইপি ক্যামেরাকে প্রভাবিত করে।

অনুষ্ঠানের ৪ দিনের মধ্যে, মোট 38টি হামলা চালানো হয়েছে সবচেয়ে সাম্প্রতিক ফার্মওয়্যার এবং অপারেটিং সিস্টেমে, যার ফলে প্রতিযোগিতায় উপস্থাপিত সবচেয়ে উল্লেখযোগ্য আক্রমণগুলির মধ্যে একটি মিলিয়ন ডলারের কাছাকাছি বিভিন্ন মোট পুরস্কার রয়েছে, আমরা নিম্নলিখিতগুলি উল্লেখ করতে পারি।

সময় প্রথম দিনেই বেশিরভাগ প্রদর্শনী উপস্থাপন করা হয় আক্রমণ এবং তাদের মধ্যে নিম্নলিখিতগুলি ছিল যারা সফলভাবে তাদের উদ্দেশ্য অর্জন করেছিল:

  • লরেক্স 2K: পাঁচটি সফল হ্যাক, বাফার ওভারফ্লো এবং পয়েন্টার ডিরেফারেন্স দুর্বলতা সহ। পুরস্কার ছিল $30,000, $15,000 এবং $3,750 এর তিনটি।
  • QNAP QTime-322: প্রমাণীকরণ, পাথ ট্রাভার্সাল এবং এসকিউএল প্রতিস্থাপন ইস্যু ব্যবহার করে ছয়টি হ্যাক করা হয়েছে (2টি রাউটারে এবং 2টি NAS-এ) $100,000 পর্যন্ত পুরস্কার সহ।
  • সোনোস এরা 300: বাফার ওভারফ্লো এবং মুক্ত মেমরি দুর্বলতা ব্যবহার করে তিনটি সফল শোষণ, $60,000 এবং $30,000-এর দুটি পুরস্কার।
  • এইচপি কালার লেজারজেট প্রো 3301fdw: দুটি হ্যাক, স্ট্যাক ওভারফ্লো এবং ভুল টাইপ পরিচালনার দুর্বলতা ব্যবহার করে, $20,000 এবং $10,000 উপার্জন করেছে।
  • Canon imageCLASS MF656Cdw: তিনটি স্ট্যাক ওভারফ্লো ভিত্তিক শোষণ, $20,000, $10,000 এবং $5,000 এর পুরস্কার সহ।
  • QNAP TS-464 NAS: চারটি সফল আক্রমণ ফার্মওয়্যারে অবশিষ্ট ক্রিপ্টোগ্রাফিক কীগুলির ব্যবহার এবং শংসাপত্র যাচাইকরণ এবং SQL কমান্ড প্রতিস্থাপনের সমস্যাগুলির মতো দুর্বলতার উপর নির্ভর করে। পুরস্কার $10,000 থেকে $40,000 পর্যন্ত।
  • সিনোলজি TC500- তারা একটি স্ট্যাক-ভিত্তিক বাফার ওভারফ্লো ব্যবহার করেছে যা $30,000 পুরস্কার জিতেছে।
  • সর্বজনীন AI বুলেট: আলোকে শোষণ এবং ফ্ল্যাশ করতে (পাশাপাশি একটি রুট শেল অর্জন করতে) এর আক্রমণ শৃঙ্খলে বাগগুলির সংমিশ্রণ ব্যবহার করা হয়েছে। পুরস্কার ছিল $30,000।
  • সিনোলজি ডিস্কস্টেশন DS1823xs+: একটি শেল এবং একটি পরিবর্তিত লগইন পৃষ্ঠা পেতে একটি OOB স্ক্রিপ্ট ব্যবহার করা হয়েছে

দ্বিতীয় দিন থেকে, একই ডিভাইসে আক্রমণগুলি বেশ কয়েকটি অনুষ্ঠানে উপস্থাপিত হয়েছিল, কিন্তু একই ধরণের আক্রমণ বা ত্রুটিগুলি সফলভাবে কাজে লাগানো হয়েছিল তা এখনও পুরস্কৃত হয়েছে:

  • স্যামসং আকাশগঙ্গা S24: একটি শেল পেতে এবং এটিতে একটি অ্যাপ্লিকেশন ইনস্টল করার জন্য একটি পাথ ট্রাভার্সাল সমস্যা সহ পাঁচটি দুর্বলতা বিস্তৃত একটি শোষণকে $50,000 দিয়ে পুরস্কৃত করা হয়েছিল।
  • সোনোস এরা 300- স্পিকারকে কাজে লাগানোর জন্য একটি একক ইউজ-আফটার-ফ্রি (UAF) বাগ ব্যবহার করা হয়েছে, $30,000 দিয়ে পুরস্কৃত করা হয়েছে।
  • ট্রু স্টোরেজ এক্স এনএএস: একটি একক আক্রমণ $20,000 দিয়ে পুরস্কৃত করা হয়েছিল।
  • Synology BeeStation BST150-4T: প্রমাণীকরণ বাইপাস এবং কমান্ড প্রতিস্থাপন জড়িত চারটি হ্যাক $10,000 থেকে $40,000 পর্যন্ত পুরস্কার অর্জন করেছে।
  • সিনোলজি ডিস্কস্টেশন: তারা শোষণ সঞ্চালনের জন্য একটি ভুল শংসাপত্র যাচাইকরণ ত্রুটি ব্যবহার করেছে৷ পুরস্কার ছিল $20,000।
  • AeoTec স্মার্ট হোম হাব: ভুল ক্রিপ্টোগ্রাফিক স্বাক্ষর যাচাইকরণের উপর ভিত্তি করে একটি হ্যাক, $40,000 এর পুরস্কার সহ।

প্রথম দিন:

  • QNAP QHora-322 প্রিন্টার: তারা একটি OOB লেখা এবং একটি মেমরি দুর্নীতি ত্রুটি ব্যবহার করেছে। আরেকটি আক্রমণ 4টি বাগের সমন্বয়ের উপর ভিত্তি করে করা হয়েছিল, যার মধ্যে একটি কমান্ড ইনজেকশন এবং একটি রুট ট্রাভার্সাল রয়েছে। পুরস্কার ছিল $25,000।
  • লেক্সমার্ক CX331adwe: $20,000 একটি শোষণের জন্য অর্থ প্রদান করা হয়েছিল যা একটি প্রকার বিভ্রান্তির দুর্বলতাকে কাজে লাগায়৷
  • Synology BeeStation: একটি অরক্ষিত প্রধান চ্যানেল বাগ ব্যবহার করা হয়েছিল কোড শোষণ এবং কার্যকর করতে। পুরস্কার ছিল $10,000।

প্রথম দিন:

  • সত্য NAS X: দুটি ত্রুটি ব্যবহার করেছে যা ইতিমধ্যে পূর্বে উপস্থাপিত হয়েছে। পুরস্কারটি ছিল $20,000।
  • TrueNAS মিনি দুটি শোষণ ত্রুটি ব্যবহার করা হয়েছিল। পুরস্কার ছিল $20,000
  •  QNAP QTime-322: 6টি ত্রুটি ব্যবহার করা হয়েছে, যদিও এটি ইতিমধ্যে প্রতিযোগিতায় দেখা গেছে। তা সত্ত্বেও, পুরস্কার ছিল $23,000।

সবশেষে বলাই বাহুল্য 16টি ব্যর্থ হ্যাকিং প্রচেষ্টা ছিল সময়ের সীমাবদ্ধতার কারণে, Ubiquiti, Synology এবং Lorex নিরাপত্তা ক্যামেরা, বিভিন্ন প্রিন্টার এবং NAS এবং Sonos Era 300 স্পীকারের মতো ডিভাইসগুলিকে প্রভাবিত করছে।

তথ্য সম্পর্কে বিশদ এই দুর্বলতাগুলির মধ্যে, এটি 90 দিন পরে প্রকাশ করা হবে, যা প্রস্তুতকারকদের প্যাচ প্রয়োগ করতে এবং প্রতিযোগিতায় প্রদর্শিত আক্রমণগুলির বিরুদ্ধে তাদের ডিভাইসগুলিকে সুরক্ষিত করার অনুমতি দেবে৷

যদি হয় এটি সম্পর্কে আরও জানতে আগ্রহী, আপনি বিশদে পরীক্ষা করতে পারেন নিম্নলিখিত লিঙ্ক.


আপনার মন্তব্য দিন

আপনার ইমেল ঠিকানা প্রকাশিত হবে না। প্রয়োজনীয় ক্ষেত্রগুলি দিয়ে চিহ্নিত করা *

*

*

  1. ডেটার জন্য দায়বদ্ধ: মিগুয়েল অ্যাঞ্জেল গাটান
  2. ডেটার উদ্দেশ্য: নিয়ন্ত্রণ স্প্যাম, মন্তব্য পরিচালনা।
  3. আইনীকরণ: আপনার সম্মতি
  4. তথ্য যোগাযোগ: ডেটা আইনি বাধ্যবাধকতা ব্যতীত তৃতীয় পক্ষের কাছে জানানো হবে না।
  5. ডেটা স্টোরেজ: ওসেন্টাস নেটওয়ার্কস (ইইউ) দ্বারা হোস্ট করা ডেটাবেস
  6. অধিকার: যে কোনও সময় আপনি আপনার তথ্য সীমাবদ্ধ করতে, পুনরুদ্ধার করতে এবং মুছতে পারেন।