記者黃俊育 / 綜合報導
全球白帽駭客最高殿堂 Pwn2Own Toronto 2023 漏洞研究競賽甫於上週落幕,攻擊型資安公司 DEVCORE(戴夫寇爾)實習生組隊參賽,兩位選手首次參與國際駭客大賽,即奪下第三名的優秀成績,向世界大展台灣新秀實力及豐厚資安能量!
Pwn2Own 競賽為 Zero Day Initiative(ZDI)漏洞懸賞計畫所舉辦的駭客挑戰賽,邀請世界各地頂尖白帽駭客從廣泛使用的軟體和行動裝置中找出 0-day 漏洞。今年 Pwn2Own Toronto 2023 於 10 月 24 日至 27 日舉辦,為期 4 天的賽程中,攻擊目標共包含手機裝置、智慧家居裝置、智慧揚聲器、印表機等 8 大類別。
本年度由 DEVCORE 研究部實習生 LJP、YingMuo 組成的隊伍,首次踏上世界舞台與各國好手較勁,運用 TP-Link Omada Gigabit Router 和 QNAP TS-464 設備上的漏洞串連成攻擊鏈,以 10 分的總積分榮登排行榜第三名,勇奪今年度 Pwn2Own Toronto 2023 的季軍,獲得高達 50,000 美元(約合新台幣 162 萬元)的高額獎金。
延續 2022 年 DEVCORE 團隊所獲得的冠軍及破解大師的佳績,2023 年度出戰的實習生團隊同樣選擇挑戰 SOHO SMASHUP 積分類別,此類別模擬小型辦公室、家庭辦公室(SOHO)場景,要求參賽者需從外網(WAN)駭入路由器,再藉此轉移至內網(LAN)破解如智慧喇叭、NAS 設備或印表機等第二台設備。過程中,DEVCORE 參賽團隊藉由 TP-Link Omada Gigabit Router 的堆疊緩衝區溢位(Stack Buffer Overflow)和 QNAP TS-464 設備上的漏洞串連成攻擊鏈,成功斬獲 10 分總積分並奪下第三名的殊榮。
參賽選手 LJP、YingMuo 得獎後表示,「這次在參賽過程中有遇到不少困難和挫折,很感謝 Orange、Angelboy 和研究部全體的指導和幫忙,我們才能有驚無險地拿下這次的好成績,希望未來持續運用這些養分,鑽研更深的資安技能、找出更多漏洞!」
負責指導參賽成員的 DEVCORE 首席資安研究員蔡政達(Orange Tsai)則表示,「他們真的很厲害,在短短不到兩個月的實習期間,成功在 Omada Gigabit Router 和 QNAP TS-464 設備找到漏洞並且串成攻擊鏈成功拿下很棒的成績。希望這些實習生能持續享受尋找漏洞的快樂,跟我們一起讓世界變得更安全!」
更多內容請參考:ZDI 官網:Pwn2Own Toronto 2023 – Day Two Results