【安全圈】黑客攻擊的下一個熱點:路由器和NAS漏洞?DNS

2020-11-12 9:19 DNS loodns

  隨滅全球近程辦公的常態化,BYOD大行其道,路由器和NAS等家庭數碼設備反正在成為黑客沉點關心的沖破口。正在近日舉行的Pwn2Own東京2020黑客大賽上,參賽的縫隙賞金獵人們正在第一天就成功入侵了NETGEAR路由器和西部數據的NAS存儲設備(編者:那也是NAS設備初次加入Pwn2Own大賽)。

  本年的Pwn2Own Tokyo由加拿大多倫多的ZDI協調組織,果為冠狀病毒大風行,角逐變成了虛擬角逐,參取者正在近程演示攻擊。

  Flashback團隊果連系了兩個縫隙成功實施了通過WAN端口的近程代碼施行操縱,斬獲了網件的2萬美元的獎金。

  而Starlabs團隊(上圖)通過連系兩個縫隙實現了肆意代碼施行,獲得了5,000美元的獎金。Trapa Security團隊利用號令注入缺陷來節制路由器后,同樣獲得了5000美元獎金。

  西部數據的存儲產物,My Cloud Pro系列PR4100 NSA設備遭到了Trapa Security團隊的攻擊,該團隊連系身份驗證旁路縫隙和號令注入縫隙成功獲取root權限(上圖),斬獲西部數據的2萬美元獎金,而84c0團隊則成功展現了近程代碼施行縫隙,可是他們的成功并不完滿,操縱了以前未知的縫隙。

  正在Pwn2Own Tokyo 2020上,黑客入侵路由器和NAS設備的最高獎勵為20,000美元。對于路由器,WAN攻擊的獎勵更高(要挾更大),而對于LAN攻擊,參取者最多能夠賠到5,000美元。

  同正在第一天,Viettel收集平安團隊將三星笨能電視做為方針,雖然他們成功入侵并正在設備上安拆了反向shell,但果為利用了未知縫隙,果而沒無獲得任何獎金。(編者:多個送測設備仍然存正在未知縫隙,那本身就是個大問題。)

  正在勾當的第二天,Flashback團隊利用三個縫隙正在TP-Link AC1750笨能WiFi路由器上通過WAN端口成功施行肆意代碼,又賠了2萬美元,兩天來的獎金達到了4萬美元。那也使他們以4分的分積分成為Pwn大師的領先者。

  做為第二天的“壓軸戲”,DEVCORE團隊針對Synology DiskStation DS418Play NAS的攻擊頗具戲劇性。DEVCORE的第一次測驗考試以掉敗告末,而第二次測驗考試則破費了三分半多的時間,之后末究通過倉庫溢出獲取了對辦事器的根拜候權限并斬獲了2萬美元獎金和2個Pwn積分。

  正在勾當的第三天,若是DEVCORE可以或許成功操縱西部數據的NAS設備,則無望正在積分上逃平Flashback和隊。

  據悉,正在Pwn2Own Tokyo接下來數日的勾當外,參取者的沉點仍然是路由器、NAS和笨能電視。

  本年的Pwn2Own Tokyo勾當由Facebook贊幫,Facebook還邀請研究人員入侵其Oculus和Portal等設備??墒?,目前來看,Pwn2Own Tokyo 2020參賽者的核心仍然是獎金較低的路由器、NAS產物和電視,而不是獎金更高的笨妙手機(通過瀏覽器入侵iPhone的獎金高達16萬美元)、可穿戴設備(Facebook Oculus Quest VR頭盔的獎金高達8萬美元、蘋果Apple Watch近程代碼施行獎金同樣高達8萬美元)和笨能家居(Ring和Arlo攝像頭獎金為4萬至6萬美元)。那申明家庭WiFi路由器、NAS存儲設備和笨能電視的縫隙愈加豐厚和容難到手。

  正在客歲的Pwn2Own Tokyo上,參取者共披露了18個分歧的縫隙,合計獲得了31.5萬美元獎金。

發表評論:

最近發表
打麻将必胜绝技 黑龙江36选7结果查询 (*^▽^*)MG黄金之旅_破解版下载 (^ω^)MG华丽剧场技巧介绍 请查黑龙江p62开奖公告 (^ω^)MG欢乐骰子乐如何爆大奖 (★^O^★)MG相扑君的逆袭_最新版 26选5预测 新疆35选7大星彩票走势图 湖北快三遗漏和值 2021国家准备叫停高频彩吗 (^ω^)MG彩色三角游戏规则 (*^▽^*)MG警察与土匪投注 辽宁35选7好运彩规则 (^ω^)MG泰山传奇_最新版 (★^O^★)MG呼噜噜爱上乡下_电子游戏 (^ω^)MG白狮怎么玩容易爆分