全球白帽駭客最高殿堂Pwn2Own Toronto 2023漏洞研究競賽甫於上週落幕,攻擊型資安公司 DEVCORE(戴夫寇爾)實習生組隊參賽,兩位選手首次參與國際駭客大賽,即奪下第三名的優秀成績,向世界大展台灣新秀實力及豐厚資安能量!
Pwn2Own競賽為 Zero Day Initiative漏洞懸賞計畫所舉辦的駭客挑戰賽,邀請世界各地頂尖白帽駭客從廣泛使用的軟體和行動裝置中找出0-day漏洞。今年Pwn2Own Toronto 2023於10月24日至27日舉辦,為期4天的賽程中,攻擊目標共包含手機裝置、智慧家居裝置、智慧揚聲器、印表機等8大類別。
本年度由DEVCORE研究部實習生LJP、YingMuo組成的隊伍,首次踏上世界舞台與各國好手較勁,運用TP-Link Omada Gigabit Router和QNAP TS-464設備上的漏洞串連成攻擊鏈,以10分的總積分榮登排行榜第三名,勇奪今年度Pwn2Own Toronto 2023的季軍,獲得高達50,000美元(約合新台幣162萬元)的高額獎金。
延續2022年DEVCORE團隊所獲得的冠軍及破解大師的佳績,2023年度出戰的實習生團隊同樣選擇挑戰SOHO SMASHUP積分類別,此類別模擬小型辦公室、家庭辦公室(SOHO)場景,要求參賽者需從外網(WAN)駭入路由器,再藉此轉移至內網(LAN)破解如智慧喇叭、NAS 設備或印表機等第二台設備。過程中,DEVCORE 參賽團隊藉由 TP-Link Omada Gigabit Router 的堆疊緩衝區溢位(Stack Buffer Overflow)和QNAP TS-464設備上的漏洞串連成攻擊鏈,成功斬獲10分總積分並奪下第三名的殊榮。
參賽選手LJP、YingMuo得獎後表示,「這次在參賽過程中有遇到不少困難和挫折,很感謝Orange、Angelboy和研究部全體的指導和幫忙,我們才能有驚無險地拿下這次的好成績,希望未來持續運用這些養分,鑽研更深的資安技能、找出更多漏洞!」
負責指導參賽成員的DEVCORE首席資安研究員蔡政達(Orange Tsai)則表示,「他們真的很厲害,在短短不到兩個月的實習期間,成功在Omada Gigabit Router和QNAP TS-464設備找到漏洞並且串成攻擊鏈成功拿下很棒的成績。希望這些實習生能持續享受尋找漏洞的快樂,跟我們一起讓世界變得更安全!」
- 延伸閱讀:第一屆Pwn2Own Automotive汽車資安漏洞競賽,鼓勵紮實研究解決汽車資安威脅
- 延伸閱讀:消滅「詐機」! 趨勢科技呼籲民眾升級資安知識、採取防詐行動
- 延伸閱讀:台灣成為亞太地區被攻擊的熱區第2名,微軟建議以「資安聯防」對抗持續攀升的勒索軟體及攻擊
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!