2024年のPwn2Ownアイルランド大会の2日目に、ホワイトハットハッカーたちが驚異的な51件のゼロデイ脆弱性を披露し、総額358,625ドルの現金賞を獲得しました。この大会は、セキュリティ研究者たちがソフトウェアやモバイルハードウェアデバイスを対象にハッキングスキルを競い合い、”Master of Pwn”の称号や100万ドルの賞金を目指すコンペティションです。2日目を迎えたPwn2Ownでは、Viettelサイバーセキュリティチームが強いリードを維持し、注目のパフォーマンスを見せました。
ANHTUDのファム・トゥアン・ソンとExLuckは、Canonのプリンターをスタックベースのバッファオーバーフローを用いて攻撃し、1万ドルと2ポイントを獲得。続いて、NCC Groupのケン・ギャノンが、パスのトラバーサルを含む5つのバグを組み合わせてSamsung Galaxy S24を攻撃し、5万ドルと5ポイントを得ました。この攻撃によって、彼はAndroidデバイスにアプリをインストールし、シェルアクセスを取得しました。さらに、ViettelのDungdmは、Sonos Era 300スマートスピーカーをUse-After-Free脆弱性を使って制御し、3万ドルと6ポイントを追加しました。変わってチームCluckのクリス・アナスタシオとファビウス・ワトソンは、CRLFインジェクションを含む2つの脆弱性を連鎖させてQNAP TS-464 NASを攻撃し、2万ドルと4ポイントを獲得しました。
また、Reverse Tacticsのコレンサン・バイエは、過去に使用されたバグを含む一連の攻撃でQNAP QHora-322ルーターを狙い、41,750ドルと8.5ポイントを得ることに成功しました。この日の競技では、同じ脆弱性を使った他の研究者との衝突も発生し、いくつかのデバイスには制限時間内に攻撃が失敗する場面も見られました。TenableとSynactivはそれぞれLorex 2KとSynology BeeStationデバイスのハッキングで、衝突の影響を受けて賞金が減少し、ポイントも少なくなりました。
それでも、Pwn2Own大会はまだ半ばに過ぎず、参加者たちは残り2日間でさらに高い順位を目指します。これまでに研究者たちは合計103件のゼロデイ脆弱性を攻撃し、87万ドル以上の賞を得ており、大会の熱気は衰えることがありません。