DEVCORE Pwn2Own Zero Day Initiative

DEVCORE實習生勇奪Pwn2Own全球駭客競賽第三名

2023-11-13
Pwn2Own Toronto 2023漏洞研究競賽甫於上週落幕,攻擊型資安公司DEVCORE(戴夫寇爾)實習生組隊參賽,兩位選手首次參與國際駭客大賽,即奪下第三名的優秀成績。

Pwn2Own競賽為Zero Day Initiative漏洞懸賞計畫所舉辦的駭客挑戰賽,邀請世界各地頂尖白帽駭客從廣泛使用的軟體和行動裝置中找出0-day漏洞。今年Pwn2Own Toronto 2023於10月24日至27日舉辦,為期4天的賽程中,攻擊目標共包含手機裝置、智慧家居裝置、智慧揚聲器、印表機等8大類別。

本年度由DEVCORE研究部實習生LJP、YingMuo組成的隊伍,首次踏上世界舞台與各國好手較勁,運用TP-Link Omada Gigabit Router和QNAP TS-464設備上的漏洞串連成攻擊鏈,以10分的總積分榮登排行榜第三名,勇奪今年度Pwn2Own Toronto 2023的季軍,獲得高達50,000美元(約合新台幣162萬元)的高額獎金。

延續2022年DEVCORE團隊所獲得的冠軍及破解大師的佳績,2023年度出戰的實習生團隊同樣選擇挑戰SOHO SMASHUP積分類別,此類別模擬小型辦公室、家庭辦公室(SOHO)場景,要求參賽者需從外網(WAN)駭入路由器,再藉此轉移至內網(LAN)破解如智慧喇叭、NAS設備或印表機等第二台設備。過程中,DEVCORE參賽團隊藉由TP-Link Omada Gigabit Router 的堆疊緩衝區溢位(Stack Buffer Overflow)和QNAP TS-464設備上的漏洞串連成攻擊鏈,成功斬獲10分總積分並奪下第三名的殊榮。

參賽選手LJP、YingMuo得獎後表示,這次在參賽過程中有遇到不少困難和挫折,很感謝Orange、Angelboy和研究部全體的指導和幫忙,我們才能有驚無險地拿下這次的好成績,希望未來持續運用這些養分,鑽研更深的資安技能、找出更多漏洞!

負責指導參賽成員的DEVCORE首席資安研究員蔡政達(Orange Tsai)則表示,他們真的很厲害,在短短不到兩個月的實習期間,成功在Omada Gigabit Router和QNAP TS-464設備找到漏洞並且串成攻擊鏈成功拿下很棒的成績。希望這些實習生能持續享受尋找漏洞的快樂,跟我們一起讓世界變得更安全!

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!