Итоги Pwn2Own-2021: взломан Samsung Galaxy S21 и RV340 от Cisco
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Итоги Pwn2Own-2021: взломан Samsung Galaxy S21 и RV340 от Cisco

Татьяна Никитина 08 Ноября 2021 - 10:14
...
Итоги Pwn2Own-2021: взломан Samsung Galaxy S21 и RV340 от Cisco

Оглашены итоги очередного состязания Pwn2Own. За демонстрацию уязвимостей в роутерах, принтерах, NAS и других потребительских устройствах участникам суммарно выплатили около $1,1 миллиона.

Из-за большого количества заявок на показ эксплойтов осенний Pwn2Own пришлось продлить еще на один день. В качестве объектов взлома конкурсантам впервые предложили принтеры, и шесть участников выбрали для атак именно такие устройства. Умные телевизоры и ВЗУ никого почему-то не прельстили.

Выше прочих были оценены эксплойты для смарт-колонок Sonos One. Две команды получили по $60 тыс. за демонстрацию исполнения стороннего кода с помощью ошибки переполнения буфера.

Успешный взлом смартфона Samsung Galaxy S21 принес хакеру из Pentest Limited $50 тыс., а команде STARLabs — лишь $25 тыс. (один из задействованных багов уже был известен производителю). Попытка представителя F-Secure применить эксплойт нулевого дня оказалась провальной: он не уложился в отведенное для демонстрации время.

Все атаки на принтеры завершились успехом, хотя в трех случаях авторы использовали уже показанные уязвимости и заработали меньше остальных. Взломщики принтеров суммарно получили почти $200 тыс., выявив следующие ошибки:

  • Canon ImageCLASS MF644Cdw — переполнение буфера в куче, в стеке;
  • HP Color LaserJet Pro MFP M283fdw — переполнение буфера в стеке;
  • Lexmark MC3224i — инъекция команд, перезапись произвольного файла.

В категории «NAS» самой большой награды ($45 тыс.) был удостоен взлом бета-версии накопителя My Cloud Home Personal Cloud на 3 Тбайт от Western Digital. Для эксплойта конкурсанты использовали две ошибки: чтение за границами буфера и переполнение буфера в куче.

В NAS-устройствах WD семейства My Cloud были найдены и другие проблемы, грозящие исполнением вредоносного кода и захватом контроля над системой:

  • Pro Series PR4100 — ненадежный редирект, возможность внедрения команд, переполнение буфера в стеке, нарушение целостности памяти, ошибки конфигурации;
  • Home Personal Cloud 3Тбайт — переполнение буфера в стеке, запись за границами буфера.

Максимальная выплата за эксплойт для роутеров составила $30 тысяч. Этот приз получили три участника, успешно атаковавших RV340 от Cisco Systems через WAN-интерфейс.

В трех устройствах этой категории участники Pwn2Own выявили следующие угрозы:

  • Cisco RV340 — логическая ошибка и переполнение буфера в куче (интернет-атака), обход аутентификации и инъекция команд (локальная атака); 
  • TP-Link AC1750 — чтение за пределами буфера (получение доступа к шеллу с правами root через LAN-интерфейс);
  • NETGEAR R6700v3 — целочисленное переполнение, пара ошибок переполнения буфера, неинициализированная переменная (LAN);  неадекватная проверка сертификатов, переполнение буфера в стеке (WAN).

Победителем стала команда из ИБ-компании Synacktiv, второе место заняли умельцы из консалтинговой компании Devcore (Тайвань).

 

Информация о новых уязвимостях уже передана производителям устройств. По традиции на подготовку патчей им дали три месяца, после этого авторы находок вольны будут их обнародовать.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В VK WorkSpace появится суперапп с офлайн-режимом и защитой по ГОСТ
Екатерина Быстрова 24 Октября 2025 - 18:57
Корпорации Защита персональных данныхСоответствие требованиям регуляторов
В VK WorkSpace появится суперапп с офлайн-режимом и защитой по ГОСТ

Компания VK Tech представила крупное обновление корпоративной платформы VK WorkSpace. В новой версии появится Суперапп с офлайн-режимом, расширенными функциями безопасности, геораспределённая Почта для федеральных компаний и федерация Мессенджера, которая позволит сотрудникам разных организаций общаться напрямую.

Обновлённый Суперапп VK WorkSpace объединяет основные корпоративные сервисы — Почту, Мессенджер, Календарь, Видеозвонки, Диск, Документы, Оргструктуру и Опросы. Благодаря модульной архитектуре сотрудники видят только нужные инструменты — например, только почту и календарь.

Теперь приложение поддерживает работу офлайн: можно читать и писать письма, создавать встречи и сверяться с календарём даже без интернета. После подключения к сети все изменения синхронизируются автоматически.

Безопасности уделено особое внимание: администраторы могут задать обязательные ПИН-коды, запретить скриншоты и использование рутированных устройств, включить уведомления о VPN, а трафик теперь можно шифровать по российским стандартам ГОСТ TLS. На мобильных устройствах данные хранятся в локальном зашифрованном контейнере.

Одним из главных нововведений стала геораспределённая Почта, рассчитанная на компании с филиалами по всей стране. Она позволяет обрабатывать внутренний трафик в региональных дата-центрах, а внешний — направлять через центральные серверы, сохраняя доступ к общей адресной книге и календарям коллег.

В Мессенджере VK WorkSpace появилась федерация — компании смогут настроить общение между своими контурами. Например, головной офис и дочерние организации смогут переписываться в общих чатах, сохраняя при этом независимость своих ИТ-инфраструктур. Добавлена также интеграция с DLP-системами для защиты корпоративной переписки от утечек.

Количество участников видеоконференции увеличено до 500 человек, а SIP-интеграция позволяет подключать офисные АТС и системы видео-конференц-связи. В Календаре теперь можно бронировать переговорные комнаты и проверять их занятость в реальном времени.

Кроме того, в платформе появится серверная версия Доски VK WorkSpace с функцией массовой миграции проектов из других систем и расширенными инструментами управления правами пользователей.

«Мы усилили стабильность, безопасность и функциональность VK WorkSpace, чтобы компании могли выстроить единое цифровое пространство для коммуникаций и продуктивной работы», — отметил директор по продукту Пётр Щеглов.

Большинство нововведений появится в релизе 25.4, который выйдет в ближайшее время. Платформа будет доступна по подписке — как в облаке, так и в контуре компании, без необходимости закупать дополнительное оборудование или программное обеспечение.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
В Новосибирске набирает обороты мошенничество от имени маркетплейсов
Новость
В Новосибирске набирает обороты мошенничество от имени марке...
Мошенники придумали схему fake team с «коллегами» в чатах
Новость
Мошенники придумали схему fake team с «коллегами» в чатах
MaxPatrol EPP дорос до альфы
Новость
MaxPatrol EPP дорос до альфы

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.