在 Pwn2Own Ireland 2024 的第二天,研究人员展示了针对三星 Galaxy S24 的漏洞攻击。在 Pwn2Own Ireland 2024 的第二天,黑客们展示了针对 51 个零日漏洞的攻击,总共获得了 358,625 美元的奖金,我们将这些奖金与活动第一天参赛者获得的 516,250 美元奖金相加。加上活动首日参赛者获得的 516,250 美元,趋势科技零日计划 (ZDI) 组织的黑客大赛的总奖金已接近 85 万美元,而且还有两天的时间。“今天,我们发放了 358,625 美元的奖金,使活动总奖金达到了 847,875 美元。越南电信网络安全团队在’Master of Pwn’比赛中遥遥领先,但还有两天时间,情况仍有可能发生变化。”来自 NCC Group 的 Ken Gannon 演示了当天的漏洞利用,他利用五个漏洞链入侵了一台三星 Galaxy S24 设备,获得了一个 shell 并安装了一个应用程序。确认 NCC Group (@NCCGroupInfosec) 的 Ken Gannon (@yogehi) 利用包括路径遍历在内的 5 个不同漏洞,在 #Samsung Galaxy S24 上获取了一个 shell 并安装了一个应用程序。他获得了 50,000 美元和 5 点 Pwn 大师积分。#Pwn2Own #P2OIreland pic.twitter.com/2Mt5Jc0P2t– 零日计划 (@thezdi) 2024 年 10 月 23 日他利用涉及五个漏洞的漏洞链赚取了 50,000 美元,并获得了一个 shell 和 5 个 Pwn 大师积分。PHP Hooligans / Midnight Blue (@midnightbluelab) 利用命令注入漏洞在 Synology BeeStation BST150-4T 上执行代码。该团队获得了 40,000 美元和四个 Pwn 大师积分。已确认!PHP Hooligans / Midnight Blue (@midnightbluelab) 使用指令注入 bug 在 Synology BeeStation BST150-4T 上執行程式碼。他们获得了 40,000 美元和 4 点 Pwn 大师积分。#Pwn2Own #P2OIreland pic.twitter.com/tRW8f20NU8– 零日计划 (@thezdi) 2024 年 10 月 23 日来自 @Reverse_Tactics 的 Corentin BAYET (@OnlyTheDuck) 利用三个漏洞将 QNAP QHora-322 与 QNAP TS-464 相连,获得了 41,750 美元和 8.5 点 Pwn 大师积分,尽管其中一个漏洞之前已被使用过。DEVCORE 研究团队的 NiNi (@terrynini38514) 演示了针对 AeoTec 智能家居集线器的 “加密签名验证不当 ”漏洞。他们获得了 40,000 美元和 4 点 Pwn 大师积分。Pwn2Own Ireland 2024 第二天展示的其他漏洞利用针对 Sonos Era 300 智能音箱、佳能和惠普打印机、Lorex 和 Ubiquiti 摄像机以及 QNAP 和 Synology NAS 设备。
