台灣資安新星站上世界殿堂!DEVCORE實習生奪Pwn2Own全球駭客競賽第三名

台灣資安新星站上世界殿堂!DEVCORE實習生奪Pwn2Own全球駭客競賽第三名

全球白帽駭客最高殿堂Pwn2Own Toronto 2023漏洞研究競賽甫於上週落幕,攻擊型資安公司 DEVCORE(戴夫寇爾)實習生組隊參賽,兩位選手首次參與國際駭客大賽,即奪下第三名的優秀成績,向世界大展台灣新秀實力及豐厚資安能量!

Pwn2Own競賽為 Zero Day Initiative漏洞懸賞計畫所舉辦的駭客挑戰賽,邀請世界各地頂尖白帽駭客從廣泛使用的軟體和行動裝置中找出0-day漏洞。今年Pwn2Own Toronto 2023於10月24日至27日舉辦,為期4天的賽程中,攻擊目標共包含手機裝置、智慧家居裝置、智慧揚聲器、印表機等8大類別。

本年度由DEVCORE研究部實習生LJP、YingMuo組成的隊伍,首次踏上世界舞台與各國好手較勁,運用TP-Link Omada Gigabit Router和QNAP TS-464設備上的漏洞串連成攻擊鏈,以10分的總積分榮登排行榜第三名,勇奪今年度Pwn2Own Toronto 2023的季軍,獲得高達50,000美元(約合新台幣162萬元)的高額獎金。

台灣資安新星站上世界殿堂!DEVCORE實習生奪Pwn2Own全球駭客競賽第三名

延續2022年DEVCORE團隊所獲得的冠軍及破解大師的佳績,2023年度出戰的實習生團隊同樣選擇挑戰SOHO SMASHUP積分類別,此類別模擬小型辦公室、家庭辦公室(SOHO)場景,要求參賽者需從外網(WAN)駭入路由器,再藉此轉移至內網(LAN)破解如智慧喇叭、NAS 設備或印表機等第二台設備。過程中,DEVCORE 參賽團隊藉由 TP-Link Omada Gigabit Router 的堆疊緩衝區溢位(Stack Buffer Overflow)和QNAP TS-464設備上的漏洞串連成攻擊鏈,成功斬獲10分總積分並奪下第三名的殊榮。

參賽選手LJP、YingMuo得獎後表示,「這次在參賽過程中有遇到不少困難和挫折,很感謝Orange、Angelboy和研究部全體的指導和幫忙,我們才能有驚無險地拿下這次的好成績,希望未來持續運用這些養分,鑽研更深的資安技能、找出更多漏洞!」

負責指導參賽成員的DEVCORE首席資安研究員蔡政達(Orange Tsai)則表示,「他們真的很厲害,在短短不到兩個月的實習期間,成功在Omada Gigabit Router和QNAP TS-464設備找到漏洞並且串成攻擊鏈成功拿下很棒的成績。希望這些實習生能持續享受尋找漏洞的快樂,跟我們一起讓世界變得更安全!」

 

 

ycr
作者

PC home 雜誌、T 客邦產業編輯,也負責 T 客邦影新聞 YouTube 頻道短影音製作。關注 AI 相關應用,並有軟體教學報導。(大頭貼為 AI 生成)

使用 Facebook 留言
發表回應
謹慎發言,尊重彼此。按此展開留言規則