Pwn2Own Irlandia 2025: Hacki, zwycięzcy i wielkie wygrane

W dniach 21-24 października 2025 roku w Cork w Irlandii odbył się coroczny konkurs hakerski Pwn2Own Ireland 2025, zorganizowany przez Zero Day Initiative (ZDI) . Przez trzy dni badacze cyberbezpieczeństwa z całego świata próbowali włamać się do urządzeń, usług i systemów, w tym routerów domowych, urządzeń NAS, drukarek i aplikacji do przesyłania wiadomości, takich jak WhatsApp. W zamian badacze otrzymali ogromne nagrody pieniężne.

Poniżej przedstawiamy co się wydarzyło, kto odniósł sukces i najważniejsze wnioski z tegorocznego konkursu.

Pierwszy dzień rozpoczął się z dużym impetem. ZDI ogłosiło, że zaplanowano 17 prób wykorzystania luk w zabezpieczeniach i, co ciekawe, w tym dniu nie doszło do żadnych awarii. Łącznie przyznano 522 500 USD za 34 unikalne luki zero-day.

Wśród najważniejszych wydarzeń:

• Zespół Neodyme wykorzystał przepełnienie bufora stosu w drukarce HP DeskJet 2855e, zdobywając 20 000 USD i 2 punkty „Master of Pwn”.

• STARLabs obrał sobie za cel drukarkę Canon imageCLASS MF654Cdw, wykorzystując przepełnienie stosu, co również przyniosło mu 20 000 USD i 2 punkty.

• Synacktiv osiągnął wykonanie kodu root na serwerze Synology BeeStation Plus NAS, zdobywając 40 000 USD i 4 punkty.

• Zespół DDOS stworzył łańcuch exploitów, wykorzystując osiem różnych błędów, w tym wiele luk umożliwiających wstrzyknięcie kodu, aby włamać się do routera QNAP QHora-322, a następnie przejąć kontrolę nad urządzeniem NAS QNAP TS-453E w kategorii „Smashup” dla małych i średnich przedsiębiorstw. Za to zgłoszenie otrzymali 100 000 dolarów i 10 punktów.

Drugiego dnia ZDI poinformowało, że uczestnicy zarobili już ponad pół miliona dolarów w nagrodach, ponieważ badacze przeszli od drukarek i systemów NAS do inteligentnego sprzętu domowego, co pokazuje, że niemal każde podłączone urządzenie może stać się celem ataku.

Wiele mówiło się o wyzwaniu WhatsApp, w którym można było wygrać milion dolarów. Jednak seria udanych ataków hakerskich pokazała, jak codzienne inteligentne urządzenia mogą paść ofiarą hakerów, jeśli zostaną wykorzystane przez osoby trzecie w złych zamiarach.

Do najważniejszych zwycięstw należały:

• PHP Hooligans wykorzystali drukarkę Canon imageCLASS MF654Cdw, dokonując ataku wykraczającego poza dozwolone granice, zyskując 10 000 USD i 2 punkty.

• Firma Viettel Cyber ​​Security wykorzystała atak polegający na wstrzyknięciu polecenia w połączeniu z dwoma kolizjami błędów, aby wykorzystać lukę w zabezpieczeniach urządzenia Home Automation Green, zarabiając 12 500 USD i 2,75 punktu.

• Firma Qrious Secure połączyła dwa błędy, aby złamać zabezpieczenia mostka Philips Hue. Mimo że tylko jeden błąd był unikatowy, firma i tak zdobyła 16 000 USD i 3,75 punktów.

• Firma CyCraft Technology wykorzystała pojedynczy błąd polegający na wstrzyknięciu kodu, aby wykorzystać lukę w zabezpieczeniach serwera NAS QNAP TS-453E, zarabiając 20 000 USD i 4 punkty.

Według ostatniego wpisu na blogu, do trzeciego dnia łączna kwota wypłat osiągnęła 1 024 750 USD za 73 unikalne błędy zero-day. Do najważniejszych momentów należały:

• Zespół Interrupt Labs wykorzystał błąd w walidacji danych wejściowych, aby przejąć kontrolę nad smartfonem Samsung Galaxy S25; nagrodą było 50 000 USD i 5 punktów.

• Synacktiv wykorzystał dwa błędy w celu wykorzystania luk w zabezpieczeniach systemu nadzoru Ubiquiti AI Pro, za co zarobił 30 000 USD i 3 punkty.

• Zespół Summoning Team (pod przewodnictwem Siny Kheirkhaha) wykorzystał zakodowane na stałe dane uwierzytelniające i wstrzyknął lukę w zabezpieczeniach serwera QNAP TS-453E, zarabiając 20 000 USD i 4 punkty.

• Kilka zgłoszeń zostało wycofanych lub uznanych za kolizje (tj. ciągi błędów wykorzystujące wcześniej zarejestrowane błędy), ale i tak przyznano im niższe nagrody. Na przykład, jeden z exploitów na mostku Philips Hue przyniósł 17 500 dolarów pomimo kolizji. ( Inicjatywa Zero Day )

Pod koniec trzeciego dnia organizatorzy ogłosili zakończenie konkursu, a tytuł „Master of Pwn” powędrował do Summoning Team.

• Nagroda pieniężna za udane wykorzystanie luki w zabezpieczeniach WhatsApp bez kliknięcia osiągnęła 1 000 000 USD, co oznacza, że ​​była to największa pojedyncza zdobycz w historii konkursu (choć zwycięzca w tej kategorii nie został publicznie ogłoszony).

• Różnorodność celów ataków — od drukarek i urządzeń NAS po inteligentne centrale domowe i smartfony — pokazuje, jak wiele typów podłączonego sprzętu jest nadal narażonych na znaczne ryzyko.

• Wiele udanych ataków wykorzystywało błędy „kolizyjne” (tj. luki w zabezpieczeniach podobne lub identyczne do tych, które były już wcześniej wykorzystane w konkursie). Choć nadal są one nagradzane, przynoszą mniejsze korzyści i pokazują, jak wiele słabych punktów jest już znanych (przynajmniej badaczom).

• Konkurs podkreślił wartość zorganizowanych, publicznych działań na rzecz ujawniania luk w zabezpieczeniach: dostawcy biorący udział w konkursie otrzymują wczesne ostrzeżenie, dzięki czemu mogą łatać systemy, zanim zostaną one wykorzystane przez prawdziwych cyberprzestępców.

Konferencja Pwn2Own Ireland 2025 po raz kolejny pokazała, że ​​nawet zwykłe urządzenia, takie jak routery, drukarki i systemy inteligentnego domu, mogą zostać zhakowane dzięki odpowiedniej wiedzy technicznej. Wydarzenia takie jak to podkreślają, dlaczego skoordynowane badania i ujawnianie informacji są niezbędne dla bezpieczeństwa technologii.

Wysoka pula nagród pokazała, jak poważnie zarówno naukowcy, jak i branża traktują to ryzyko. A kiedy Summoning Team został uhonorowany tytułem Mistrza Pwn, wydarzenie zakończyło się dużym zainteresowaniem i kilkoma lekcjami dla wszystkich widzów.

Uwaga: Konkurs oficjalnie zaplanowano na 21–24 października w Cork w Irlandii, choć wszystkie rundy hakerskie na żywo zakończyły się 23 października. Ostatni dzień zarezerwowano na podsumowanie administracyjne i czynności zamykające.