Pwn2Own Ireland 2025: взломы, победители и крупные выплаты

С 21 по 24 октября 2025 года в городе Корк (Ирландия) проходил ежегодный хакерский конкурс Pwn2Own Ireland 2025, организованный организацией Zero Day Initiative (ZDI) . В течение трёх дней специалисты по кибербезопасности со всего мира пытались взломать устройства, сервисы и системы, включая домашние маршрутизаторы, сетевые хранилища (NAS), принтеры и мессенджеры, такие как WhatsApp. За это исследователи получали крупные денежные призы.

Ниже представлен подневный анализ произошедшего, кто добился успеха и некоторые основные выводы из конкурса этого года.

Первый день начался с высокой динамики. ZDI объявила о 17 запланированных попытках эксплуатации уязвимостей, и, что примечательно, в этот день не было ни одной неудачной попытки. Общая сумма вознаграждения за 34 уникальные уязвимости нулевого дня составила 522 500 долларов США.

Среди основных моментов:

• Команда Neodyme взломала принтер HP DeskJet 2855e, используя стековое переполнение буфера, и получила 20 000 долларов США и 2 очка «Master of Pwn».

• Компания STARLabs атаковала принтер Canon imageCLASS MF654Cdw через переполнение кучи, что также принесло ей 20 000 долларов США и 2 балла.

• Synacktiv добился выполнения root-кода на NAS-устройстве Synology BeeStation Plus, за что получил 40 000 долларов США и 4 балла.

• Команда DDOS создала цепочку эксплойтов, используя восемь различных уязвимостей, включая множественные инъекции, чтобы взломать маршрутизатор QNAP QHora-322, а затем применить её к сетевому накопителю QNAP TS-453E в категории «SOHO Smashup». За эту работу команда получила 100 000 долларов США и 10 баллов.

На второй день ZDI сообщила, что участники уже заработали более полумиллиона долларов в виде призов, поскольку исследователи перешли от принтеров и систем NAS к устройствам для умного дома, показав, что целью может стать практически любое подключенное устройство.

Широко обсуждаемый челлендж WhatsApp на один миллион долларов остался нетронутым, но серия успешных взломов показала, как обычные смарт-устройства могут быть взломаны, если ими воспользуются третьи лица со злым умыслом.

Некоторые из ключевых побед:

• Злоумышленники PHP Hooligans взломали принтер Canon imageCLASS MF654Cdw, осуществив запись за пределами допустимого диапазона, и получили 10 000 долларов США и 2 балла.

• Компания Viettel Cyber ​​Security использовала инъекцию команды в сочетании с двумя столкновениями ошибок для эксплуатации устройства Home Automation Green, заработав 12 500 долларов США и 2,75 балла.

• Qrious Secure использовала две уязвимости для взлома моста Philips Hue Bridge. И хотя только одна из них была уникальной, они все равно собрали 16 000 долларов США и 3,75 балла.

• CyCraft Technology использовала ошибку внедрения одного кода для эксплуатации уязвимости сетевого хранилища QNAP TS-453E, заработав 20 000 долларов США и 4 балла.

К третьему дню общая сумма выплат достигла 1 024 750 долларов США за 73 уникальные уязвимости нулевого дня, согласно последнему посту в блоге. Среди наиболее примечательных моментов:

• Команда Interrupt Labs использовала ошибку проверки входных данных, чтобы получить контроль над смартфоном Samsung Galaxy S25; вознаграждение составило 50 000 долларов США и 5 баллов.

• Synacktiv использовал две уязвимости для эксплуатации системы видеонаблюдения Ubiquiti AI Pro и заработал 30 000 долларов США и 3 балла.

• Команда Summoning Team (под руководством Сины Хейрхаха) успешно использовала жестко запрограммированные учетные данные и внедрение уязвимости для взлома QNAP TS-453E, заработав 20 000 долларов США и 4 очка.

• Несколько заявок были отозваны или признаны коллизиями (т.е. цепочками ошибок, повторно использующими ранее зарегистрированные уязвимости), но они всё равно получили уменьшенные призы. Например, один эксплойт на Philips Hue Bridge принёс 17 500 долларов США, несмотря на коллизию. ( Инициатива Zero Day ).

В конце третьего дня организаторы объявили, что конкурс завершен, и финальный титул «Мастер Pwn» достался команде Summoning Team.

• Денежный приз за успешную атаку WhatsApp без нажатия кнопки «Ничего» достиг 1 000 000 долларов США, что стало самой крупной единовременной целью за всю историю конкурса (хотя победитель в этой категории публично не объявлялся).

• Разнообразие целей — от принтеров и устройств NAS до концентраторов умного дома и смартфонов — подчеркивает, что многие типы подключенного оборудования по-прежнему подвержены значительному риску.

• Многие успешные атаки были связаны с «коллизионными» ошибками (т.е. уязвимостями, похожими или идентичными тем, которые уже использовались ранее в конкурсе). Хотя они всё ещё вознаграждаются, они платят меньше и показывают, как много уязвимостей уже известно (по крайней мере, исследователям).

• Конкурс подтвердил ценность организованных публичных усилий по раскрытию уязвимостей: участвующие поставщики получают ранние предупреждения, что позволяет им исправлять системы до того, как ими воспользуются настоящие злоумышленники.

Конференция Pwn2Own Ireland 2025 в очередной раз продемонстрировала, что даже обычные устройства, такие как маршрутизаторы, принтеры и системы умного дома, можно взломать при наличии технической поддержки. Подобные мероприятия наглядно демонстрируют, почему скоординированные исследования и раскрытие информации необходимы для обеспечения безопасности технологий.

Большой призовой фонд показал, насколько серьёзно и исследователи, и индустрия относятся к этим рискам. А коронация Summoning Team в номинации «Мастера Pwn» завершила мероприятие, привлёкшее к себе огромное внимание и давшее зрителям несколько уроков.

Примечание: официально конкурс был запланирован на 21–24 октября в Корке, Ирландия, хотя все раунды живого хакатона завершились 23 октября. Последний день был отведен для административного подведения итогов и закрытия мероприятия.