Os hackers ganharam cerca de US$ 350.000 em recompensas depois de demonstrar explorações bem-sucedidas contra uma variedade de dispositivos no segundo dia da competição Pwn2Own Toronto 2023 da Zero Day Initiative.
Assim como no primeiro dia do concurso de hackers, dispositivos NAS, impressoras, alto-falantes inteligentes e telefones celulares foram hackeados na quarta-feira, com explorações bem-sucedidas também demonstradas contra roteadores.
A maior recompensa foi para Chris Anastasio, que ganhou US$ 100 mil por explorações visando uma vulnerabilidade no roteador P-Link Omada Gigabit e uma na impressora Lexmark CX331adwe. ZDI anunciada.
No segundo dia de competição, um estagiário da Devcore ganhou US$ 50.000 por um problema de estouro de buffer de pilha no roteador TP-Link Omada Gigabit e duas falhas no dispositivo NAS QNAP TS-464.
A equipe Orca of Sea Security também ganhou US$ 50.000 na quarta-feira, por um bug no roteador Synology RT6600ax e uma cadeia de três bugs no dispositivo NAS QNAP TS-464.
Recompensas de US$ 30.000 foram distribuídas por uma injeção de comando na câmera de segurança Wyze Cam v3 e um problema de gravação fora dos limites no alto-falante inteligente Sonos Era 100.
A ZDI também anunciou altas recompensas por um bug de validação de entrada imprópria e uma falha na lista permissiva de entradas permitidas no Samsung Galaxy S23 (US$ 25.000), um problema de buffer overflow baseado em pilha no HP Color LaserJet Pro MFP 4301fdw (US$ 20.000) e um stack- vulnerabilidade de buffer overflow na impressora Canon imageCLASS MF753Cdw (US$ 10.000).
Ademais, várias recompensas de baixo nível foram distribuídas para explorações direcionadas a vulnerabilidades conhecidas no QNAP TS-464, Wyze Cam v3, Synology BC500 e Canon imageCLASS MF753Cdw.
No geral, diz a ZDI, os hackers participantes ganharam mais de US$ 800.000 em recompensas nos primeiros dois dias da competição, que deve terminar na sexta-feira.