Pwn2Own Irland 2025: Die Hacks, die Gewinner und die großen Auszahlungen

Vom 21. bis 24. Oktober 2025 fand in der irischen Stadt Cork der jährliche Live-Hacking-Wettbewerb Pwn2Own Ireland 2025 statt, der von der Zero Day Initiative (ZDI) organisiert wurde. Drei Tage lang versuchten Cybersicherheitsforscher aus aller Welt, in Geräte, Dienste und Systeme einzudringen, darunter Heimrouter, NAS-Geräte, Drucker und Messaging-Apps wie WhatsApp. Im Gegenzug erhielten die Forscher hohe Geldpreise.

Nachfolgend finden Sie eine Aufschlüsselung der Ereignisse, der Erfolge und einiger der wichtigsten Erkenntnisse aus dem diesjährigen Wettbewerb nach Tagen.

Der erste Tag begann mit großer Dynamik. ZDI gab bekannt, dass 17 Exploit-Versuche geplant waren, und bemerkenswerterweise gab es an diesem Tag keinen einzigen Fehlschlag. Für 34 einzigartige Zero-Day-Schwachstellen wurden insgesamt 522.500 US-Dollar ausgezahlt.

Zu den Highlights:

• Das Team Neodyme nutzte einen stapelbasierten Pufferüberlauf bei einem HP DeskJet 2855e-Drucker aus und verdiente sich 20.000 USD und 2 „Master of Pwn“-Punkte.

• STARLabs zielte über einen Heap-Überlauf auf einen Canon imageCLASS MF654Cdw-Drucker ab und verdiente ebenfalls 20.000 USD und 2 Punkte.

• Synacktiv gelang die Ausführung von Root-Code auf einem Synology BeeStation Plus NAS und erhielt dafür 40.000 USD und 4 Punkte.

• Das Team DDOS erstellte eine Exploit-Kette mit acht verschiedenen Bugs, darunter mehrere Injektionsfehler, um einen QNAP QHora-322-Router zu kompromittieren und anschließend ein QNAP TS-453E NAS-Gerät in der Kategorie „Smashup“ für den privaten Heimgebrauch anzugreifen. Für diesen Beitrag erhielten sie 100.000 US-Dollar und 10 Punkte.

Am zweiten Tag berichtete ZDI, dass die Teilnehmer bereits Preise im Wert von über einer halben Million Dollar gewonnen hatten, als die Forscher von Druckern und NAS-Systemen auf Smart-Home-Geräte umstiegen und zeigten, dass nahezu jedes vernetzte Gerät ein Ziel sein kann.

Die viel diskutierte WhatsApp-Challenge mit dem Millionen-Dollar-Gewinn blieb unangetastet, doch die Reihe erfolgreicher Hacks zeigte, wie alltägliche Smart-Geräte gehackt werden können, wenn sie von Dritten mit böswilliger Absicht ausgenutzt werden.

Zu den wichtigsten Erfolgen zählten unter anderem:

• PHP-Hooligans nutzten den Canon imageCLASS MF654Cdw-Drucker durch einen Out-of-Bounds-Schreibvorgang aus und erspielten sich so 10.000 USD und 2 Punkte.

• Viettel Cyber ​​Security nutzte eine Befehlsinjektion in Kombination mit zwei Bug-Kollisionen, um ein Home Automation Green-Gerät auszunutzen, und verdiente damit 12.500 USD und 2,75 Punkte.

• Qrious Secure kombinierte zwei Bugs, um eine Philips Hue Bridge zu kompromittieren. Obwohl nur ein Bug einzigartig war, sammelten sie dennoch 16.000 USD und 3,75 Punkte.

• CyCraft Technology nutzte einen einzigen Code-Injection-Bug, um das QNAP TS-453E NAS auszunutzen und verdiente damit 20.000 USD und 4 Punkte.

Bis zum dritten Tag beliefen sich die Gesamtauszahlungen für 73 einzigartige Zero-Day-Bugs laut dem letzten Blogbeitrag auf 1.024.750 US-Dollar. Zu den herausragenden Momenten gehörten:

• Ein Team von Interrupt Labs nutzte einen Fehler bei der Eingabevalidierung, um die Kontrolle über ein Samsung Galaxy S25-Smartphone zu übernehmen. Die Belohnung betrug 50.000 USD und 5 Punkte.

• Synacktiv nutzte zwei Bugs, um ein Ubiquiti AI Pro-Überwachungssystem auszunutzen und verdiente 30.000 USD und 3 Punkte.

• Das Summoning Team (unter der Leitung von Sina Kheirkhah) nutzte erfolgreich fest codierte Anmeldeinformationen plus Injektion, um ein QNAP TS-453E auszunutzen, und verdiente dabei 20.000 USD und 4 Punkte.

• Einige Einsendungen wurden zurückgezogen oder als Kollisionen eingestuft (d. h. Bug-Ketten, die bereits registrierte Schwachstellen wiederverwendeten), erhielten aber dennoch reduzierte Preise. So brachte beispielsweise ein Exploit auf einer Philips Hue Bridge trotz einer Kollision 17.500 US-Dollar ein. ( Zero Day Initiative )

Am Ende des dritten Tages gaben die Organisatoren bekannt, dass der Wettbewerb beendet sei und der letzte Titel „Master of Pwn“ an das Summoning-Team ging.

• Der Geldpreis für einen erfolgreichen Zero-Click-Exploit von WhatsApp erreichte eine Million US-Dollar und war damit das größte Einzelziel in der Geschichte des Wettbewerbs (obwohl kein Gewinner für diese Kategorie öffentlich bekannt gegeben wurde).

• Die Vielfalt der Ziele – von Druckern und NAS-Geräten bis hin zu Smart-Home-Hubs und Smartphones – verdeutlicht, dass viele Arten vernetzter Geräte noch immer erheblichen Risiken ausgesetzt sind.

• Bei vielen erfolgreichen Angriffen handelte es sich um sogenannte „Kollisions“-Bugs (also Schwachstellen, die denen ähneln oder mit denen identisch sind, die bereits früher im Wettbewerb ausgenutzt wurden). Diese Angriffe werden zwar ebenfalls belohnt, sind aber weniger lukrativ und verdeutlichen, wie viele Schwachstellen (zumindest den Forschern) bereits bekannt sind.

• Der Wettbewerb unterstrich den Wert organisierter, öffentlicher Bemühungen zur Offenlegung von Sicherheitslücken: Die teilnehmenden Anbieter werden frühzeitig gewarnt, sodass sie ihre Systeme patchen können, bevor böswillige Akteure in der realen Welt diese ausnutzen.

Pwn2Own Ireland 2025 hat einmal mehr gezeigt, dass selbst gewöhnliche Geräte wie Router, Drucker und Smart-Home-Systeme mit dem richtigen technischen Know-how gehackt werden können. Ereignisse wie dieses verdeutlichen, warum koordinierte Forschung und Offenlegung für die Sicherheit der Technologie unerlässlich sind.

Der hohe Preispool zeigte, wie ernst sowohl Forscher als auch die Branche diese Risiken nehmen. Und mit der Krönung des Summoning Teams zum Master of Pwn endete die Veranstaltung mit viel Aufmerksamkeit und einigen Lektionen für alle Zuschauer.

Hinweis: Der Wettbewerb war offiziell für den 21.–24. Oktober in Cork, Irland, geplant, alle Live-Hacking-Runden endeten jedoch am 23. Oktober. Der letzte Tag war für administrative Abschluss- und Abschlussaktivitäten reserviert.