Skip to content

ONHEXGROUP

اخبار دنیای امنیت سایبری

  • اخبار
    • آسیب پذیری امنیتی
    • آنالیز بدافزار
    • کنفرانس ،دوره ، وبینار ، لایو ، CTF
    • بازیگران تهدید
    • توسعه اکسپلویت
    • افشای اطلاعات
    • باگ بانتی
    • تیم آبی
    • تیم قرمز
    • امنیت وب
  • دوره های آموزشی
    • دوره رایگان مهندسی معکوس نرم افزار
  • لیست های ویژه
    • موتورهای جستجو برای امنیت سایبری
    • کاتالوگ KEV آژانس CISA
    • آسیب پذیری های وردپرس
      • آسیب پذیری پلاگین ها
      • آسیب پذیری های هسته
      • آسیب پذیری تم ها
    • محصولات خارج از پشتیبانی مایکروسافت
      • محصولات مایکروسافتی که در سال 2022 پشتیبانی نمیشن
      • محصولات مایکروسافتی که در سال 2023 پشتیبانی نمیشن
      • لیست محصولات مایکروسافتی که در سال 2024 پشتیبانی نمیشن
      • لیست محصولات مایکروسافتی که در سال 2025 پشتیبانی نمیشن
    • معرفی فیلم ها و سریالهای مرتبط با هک و امنیت
  • آموزش های ویدیویی
  • انتشارات
    • مجله
    • مقالات
    • پادکست
  • پروژه ها
    • ماشین آسیب پذیر
      • وردپرس آسیب پذیر
  • حمایت مالی ( Donate)
  • تماس با ما
 
  • Home
  • اخبار
  • نگاهی به اولین دوره ی مسابقات Pwn2Own Automotive
  • آسیب پذیری امنیتی
  • اخبار
  • کنفرانس ،دوره ، وبینار ، لایو ، CTF
  • مقالات

نگاهی به اولین دوره ی مسابقات Pwn2Own Automotive

On بهمن 6, 1402بهمن 7, 1402
seyyid
Share
زمان مطالعه: 9 دقیقه

همونطور که هفته پیش اشاره کردیم، اولین دوره ی مسابقات Pwn2Own Automotive که مختص امنیت خودرو هست، طی 3 روز، 24 تا 26 ژانویه، در توکیو ژاپن برگزار شد و در نهایت Synacktiv با کسب 450 هزار دلار جایزه نقدی و 50 امتیاز Master of Pwn مقام اول رو بدست آورد. جدول زیر نفرات برتر این دوره از مسابقات رو مشاهده میکنید.

 

نتایج pwn2own-automotive-2024

 

در این مسابقات، در مجموع 1,323,750 دلار جایزه نقدی داده شده و 49 آسیب پذیری زیرودی منحصر به فرد کشف شد.

در این مسابقه 17 شرکت کننده حضور داشتن :

Sina Kheirkhah
Cromulence
PCAutomotive
fuzzware.io
Synacktiv
Katsuhiko Sato
Gary Li Wang
NCC Group EDG
Computest Sector 7
RET2 Systems
Midnight Blue
u0K++
Team Tortuga
Connor Ford
Team Cluck
Alex Olson
Le Tran Hai Tung

همونطور که در لیست شرکت کنندگان مشاهده میکنید، آقای سینا خیرخواه هم جزء شرکت کنندگان بودن که تونستن در مجموع 90 هزار دلار جایزه نقدی و 9 امتیاز Master of Pwn بدست بیارن. ایشون تونستن ChargePoint Home Flex و Ubiquiti Connect EV Station رو با موفقیت اکسپلویت کنن.

نمودار زیر نشون دهنده ، عملکرد هر شرکت کننده هست :

 

وضعیت هر شرکت کننده در pwn2own-automotive-2024

 

لیست 13 محصولی که در این مسابقه به دست هکرها ، اکسپلویت شدن و الان میشه گفت که آسیب پذیر هستن :

ChargePoint Home Flex
Alpine Halo9 iLX-F509
Sony XAV-AX5500
Phoenix Contact CHARX SEC-3100
JuiceBox 40 Smart EV Charging Station
Autel MaxiCharger AC Wallbox Commercial
Automotive Grade Linux
Ubiquiti Connect EV Station
EMPORIA EV Charger Level 2
Tesla Modem
Tesla Infotainment System
DMH-WT7600NEX
EMPORIA EV Charger Level 2

نمودار زیر تعداد اکسپلویت شدن هر محصول رو نشون میده :

 

تعداد اکسپلویت شدن هر محصول در pwn2own-automotive-2024

 

در مجموع 50 برنامه ارائه شده که نتیجه 26 موردش موفقیت آمیز (SUCCESS)، 8 موردش موفق اما باگها قبلا شناخته شده بودن (COLLISION)، 4 موردش موفق اما همه باگها شناخته شده نبودن (SUCCESS / BUG COLLISION) ، 10 موردش شکست (FAILURE) و 2 مورد هم انصرافی (WITHDRAWN) بود.

 

نتایج کلی pwn2own-automotive-2024

 

قبل از اینکه بریم سراغ بررسی تک تک روزهای مسابقه، اگه با مسابقات Pwn2Own آشنایی ندارید،  میتونید این لینک مشاهده کنید، همچنین مسابقات ونکوور کانادا هم قراره بزودی برگزار بشه که برای مشاهده ی جوایز و شرایط میتونید اینجا رو ببنید.

 

 

روز اول :

روز اول مسابقه، با سینا خیرخواه شروع شد که تونست ChargePoint Home Flex رو با موفقیت هک کنه و 60هزار دلار جایزه نقدی و 6 امتیاز Master of Pwn دریافت کرد.

 

سیناخیرخواه pwn2own-automotive-2024

 

Rob Blakely از Cromulence با موفقیت تونست Automotive Grade Linux رو هک کنه. اما چون از یه اکسپلویت Nday استفاده کرده بود، 47,500 دلار جایزه نقدی و 3.75 امتیاز Master of Pwn دریافت کرد.

PCAutomotive Team تونست با موفقیت Alpine Halo9 iLX-F509 رو با یه آسیب پذیری Use-After-Free اکسپلویت کنه و 40,000 دلار جایزه نقدی و 4 امتیاز Master of Pwn دریافت کرد.

 

pwn2own-automotive-2024

 

Tobias Scharnowski و Felix Buchmann از fuzzware.io تونستن با موفقیت Sony XAV-AX5500 رو اکسپلویت کنن و 40,000 دلار جایزه نقدی و 4 امتیاز Master of Pwn رو بدست آوردن.

Synacktiv Team تونست با زنجیره کردن سه آسیب پذیری ، Tesla Modem رو هک کنه و 100,000 دلار جایزه نقدی و 10 امتیاز Master of Pwn رو بدست آورد.

 

 

 

Katsuhiko Sato تونست با موفقیت ، Alpine Halo9 iLX-F509 رو با اکسپلویت آسیب پذیری command injection هک کنه و 20,000 دلار جایزه نقدی و 4 امتیاز Master of Pwn بدست آورد. ایشون در مرحله ی دوم تونست این هک رو انجام بده.

 

 

سینا خیرخواه در زمانی که داشت، نتونست Sony XAV-AX5500 و Phoenix Contact CHARX SEC-3100 و JuiceBox 40 Smart EV Charging Station و Pioneer DMH-WT7600NEX رو هک کنه و امتیاز و جایزه نقدی دریافت نکرد.

NCC Group EDG با زنجیره کردن سه آسیب پذیری ، تونست Pioneer DMH-WT7600NEX رو اکسپلویت کنه و 40,000 دلار جایزه نقدی و 4 امتیاز Master of Pwn کسب کرد.

 

 

Synacktiv Team با زنجیره کردن دو آسیب پذیری ، با موفقیت تونست Ubiquiti Connect EV Station رو اکسپلویت کنه و 60,000 دلار جایزه نقدی و 6 امتیاز Master of Pwn بدست آورد.

 

 

RET2 Systems با زنجیره کردن دو آسیب پذیری، تونست با موفقیت Phoenix Contact CHARX SEC-3100 رو اکسپلویت کنه و 60,000 دلار جایزه نقدی و 6 امتیاز Master of Pwn بدست آوردن.

 

 

Midnight Blue / PHP Hooligans team با اکسپلویت آسیب پذیری stack buffer overflow ، با موفقیت Sony XAV-AX5500 رو هک کرد و 20,000 دلار جایزه نقدی و 4 امتیاز Master of Pwn بدست آورد.

 

 

Vudq16 و Q5CA از u0K++ با استفاده از آسیب پذیری stack buffer overflow ، تونستن با موفقیت Alpine Halo9 iLX-F509 رو اکسپلویت کنن و 20,000 هزار دلار جایزه نقدی و 4 امتیاز Master of Pwn بدست آوردن.

 

 

Synacktiv Team تونست با موفقیت ChargePoint Home Flex رو با زنجیره کردن دو آسیب پذیری اکسپلویت کنه ، اما چون اکسپلویتی که استفاده کردن قبلا شناخته شده بود، 16,000 دلار جایزه نقدی و 3 امتیاز Master of Pwn بدست آورد.

Gary Li Wang با استفاده از آسیب پذیری stack-based buffer overflow تونست با موفقیت Sony XAV-AX5500 رو اکسپلویت کنه و 20 هزار دلار جایزه نقدی و 4 امتیاز Master of Pwn کسب کرد.

 

 

Synacktiv با زنجیره کردن دو آسیب پذیری ، تونست با موفقیت JuiceBox 40 Smart EV Charging Station رو اکسپلویت کنه و 60 هزار دلار جایزه نقدی و 6 امتیاز Master of Pwn بدست آوردن.

Connor Ford از Nettitude تونست با موفقیت ChargePoint Home Flex رو اکسپلویت کنه، اما چون 2 تا از آسیب پذیری ها شناخته شده بودن، 16 هزار دلار جایزه نقدی و 3 امتیاز Master of Pwn کسب کرد.

Chris Anastasio و Fabius Watson از Team Cluck تونستن با موفقیت ChargePoint Home Flex رو هک کنن، اما چون آسیب پذیریشون شناخته شده بود، 16 هزار دلار جایزه نقدی و 3 امتیاز Master of Pwn کسب کرد.

NCC Group EDG با اکسپلویت آسیب پذیری improper input validation ، تونست با موفقیت Phoenix Contact CHARX SEC-3100 رو اکسپلویت کنه و 30 هزار دلار جایزه نقدی و 6 امتیاز Master of Pwn بدست آوردن.

 

روز دوم :

روز دوم با Team Tortuga شروع شد که تونست با موفقیت ChargePoint Home Flex رو اکسپلویت کنه ، اما چون آسیب پذیری شناخته شده بود، 15 هزار دلار جایزه نقدی و 3 امتیاز Master of Pwn بدست آورد.

 

 

Midnight Blue / PHP Hooligans team با زنجیره کردن سه آسیب پذیری ، با موفقیت Phoenix Contact CHARX SEC-3100 رو اکسپلویت کرد و 30هزار دلار جایزه نقدی و 6 امتیاز Master of Pwn بدست آورد.

Computest Sector 7 با موفقیت تونست JuiceBox 40 Smart EV Charging Station رو اکسپلویت کنه، اما چون آسیب پذیری شناخته شده بود، 15 هزار دلار جایزه نقدی و 3 امتیاز Master of Pwn بدست آورد.

سیناخیرخواه نتونست در زمانی که داشت، Autel MaxiCharger AC Wallbox Commercial رو اکسپلویت کنه.

Synacktiv team با زنجیره کردن دو آسیب پذیری، تونست با موفقیت Tesla Infotainment System رو اکسپلویت کنه و 100هزار دلار جایزه نقدی و 10 امتیاز Master of Pwn بدست آورد.

NCC Group EDG با زنجیره کردن دو آسیب پذیری با موفقیت تونست Alpine Halo9 iLX-F509 رو اکسپلویت کنه و 20 هزار دلار جایزه نقدی و 4 امتیاز Master of Pwn بدست آورد.

 

 

PCAutomotive نتونست با موفقیت JuiceBox 40 Smart EV Charging Station رو اکسپلویت کنه.

Katsuhiko Sato تونست با موفقیت Sony XAV-AX5500 رو اکسپلویت کنه ، اما چون آسیب پذیری شناخته شده بود، 10 هزار دلار جایزه نقدی و 2 امتیاز Master of Pwn بدست آورد.

 

 

Synacktiv با زنجیره کردن 3 آسیب پذیری ، با موفقیت تونست Automotive Grade Linux رو اکسپلویت کنه، 35هزار دلار جایزه نقدی و 5 امتیاز Master of Pwn بدست آورد.

Le Tran Hai Tung با زنجیره کردن 2 آسیب پذیری ، Alpine Halo9 iLX-F509 رو اکسپلویت کرد و 20 هزار دلار جایزه نقدی و 4 امتیاز Master of Pwn بدست آورد.

 

 

سیناخیرخواه از هک EMPORIA EV Charger Level 2 انصراف داد و در نتیجه 3 امتیاز منفی Master of Pwn کسب کرد.

Team Cluck هم از هک Automotive Grade Linux انصراف داد و 2.5 امتیاز منفی دریافت کرد.

Computest Sector 7 با زنجیره کردن دو آسیب پذیری تونست Autel MaxiCharger AC Wallbox Commercial رو اکسپلویت کنه، اما یکی از آسیب پذیریهاش شناخته شده بود و در نتیجه 22,500 دلار جایزه نقدی و 4.5 امتیاز Master of Pwn بدست آورد.

 

 

سینا خیرخواه در زمانی که داشت، نتونست Alpine Halo9 iLX-F509  رو اکسپلویت کنه.

Alex Olson هم در زمانی که داشت، نتونست Phoenix Contact CHARX SEC-3100 رو اکسپلویت کنه.

fuzzware.io با زنجیره کردن دو آسیب پذیری ، ChargePoint Home Flex رو اکسپلویت کرد و 30 هزار دلار جایزه نقدی و 6 امتیاز Master of Pwn بدست آورد.

Midnight Blue / PHP Hooligans team با استفاده از آسیب پذیری stack buffer overflow تونست Autel MaxiCharger AC Wallbox Commercial رو اکسپلویت کنه و 30 هزار دلار جایزه نقدی و 6 امتیاز Master of Pwn بدست آورد.

 

 

fuzzware.io با زنجیره کردن دو آسیب پذیری ، تونست Alpine Halo9 iLX-F509 رو اکسپلویت کنه ، اما چون آسیب پذیری ها قبلا شناخته شده بودن، 10 هزار دلار جایزه نقدی و 2 امتیاز Master of Pwn بدست آورد.

RET2 System با استفاده از یه آسیب پذیری stack buffer overflow تونست با موفقیت JuiceBox 40 Smart EV Charging Station رو اکسپلویت کنه و 30 هزار دلار جایزه نقدی و 6 امتیاز Master of Pwn بدست آورد.

fuzzware.io با زنجیره کردن، دو آسیب پذیری تونست با موفقیت Autel MaxiCharger AC Wallbox Commercial رو اکسپلویت کنه، اما هر دو تا آسیب پذیری قبلا شناخته شده بودن ، در نتیجه 15 هزار دلار جایزه نقدی و 3 امتیاز Master of Pwn بدست آورد.

 

روز سوم :

Computest Sector 7 با زنجیره کردن دو آسیب پذیری ، تونست با موفقیت ChargePoint Home Flex رو اکسپلویت کنه و 30 هزار دلار جایزه نقدی و 6 امتیاز Master of Pwn دریافت کرد.

 

 

Connor Ford نتونست در زمانی که داشت، Phoenix Contact CHARX SEC-3100 رو اکسپلویت کنه.

Synacktiv با موفقیت تونست Sony XAV-AX5500 رو اکسپلویت کنه و 20هزار دلار جایزه نقدی و 4 امتیاز Master of Pwn بدست آورد.

Katsuhiko Sato نتونست در زمانی که داشت، Pioneer DMH-WT7600NEX رو اکسپلویت کنه.

سیناخیرخواه با زنجیره کردن دو آسیب پذیری ، تونست با موفقیت Ubiquiti Connect EV رو اکسپلویت کنه و 30 هزار دلار جایزه نقدی و 6 امتیاز Master of Pwn بدست آورد.

 

 

fuzzware.io با زنجیره کردن دو آسیب پذیری ، تونست با موفقیت Phoenix Contact CHARX SEC-3100 رو اکسپلویت کنه ، اما یکی از آسیب پذیری ها قبلا شناخته شده بود و در نتیجه 22,500 دلار جایزه نقدی و 4.5 امتیاز Master of Pwn بدست آورد.

Connor Ford از Nettitude  با استفاده از آسیب پذیری سرریز پشته ، تونست JuiceBox 40 Smart EV Charging Station رو با موفقیت اکسپلویت کنه و 30 هزار دلار جایزه نقدی و 6 امتیاز Master of Pwn بدست آورد.

 

 

Team Cluck با زنجیره کردن 4 آسیب پذیری ، تونست با موفقیت Phoenix Contact CHARX SEC-3100 رو اکسپلویت کنه ، اما یکی از آسیب پذیری ها قبلا شناخته شده بود، در نتیجه 26,250 دلار جایزه نقدی و 5.25 امتیاز Master of Pwn بدست آورد.

fuzzware.io با استفاده از آسیب پذیری سرریز پشته، تونست با موفقیت EMPORIA EV Charger Level 2 رو اکپسلویت کنه و 60 هزار دلار جایزه نقدی و 6 امتیاز Master of Pwn بدست آورد.

 

تصاویری از این مسابقه :

 

کت مسابقه برای نفر اول
سینا خیرخواه

 

منبع

 

 

اشتراک در شبکه های اجتماعی :

Facebook
Twitter
Pinterest
LinkedIn
In آسیب پذیری امنیتی اخبار کنفرانس ،دوره ، وبینار ، لایو ، CTF مقالاتIn command injection , Master of Pwn , PWN2OWN , Pwn2Own Automotive , Stack Buffer overflow

راهبری نوشته

شروع رویداد Top 10 Web Hacking Techniques 2023
ارسال مقاله برای کنفرانس REcon 2024

دیدگاهتان را بنویسید لغو پاسخ

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دسته‌ها

  • Osint
  • آسیب پذیری امنیتی
  • آموزش های ویدیویی
  • آنالیز بدافزار
  • اخبار
  • افشای اطلاعات
  • امنیت وب
  • انتشارات
  • اینترنت اشیاء
  • بازیگران تهدید
  • باگ بانتی
  • پادکست
  • پروژه ها
  • توسعه اکسپلویت
  • تیم آبی
  • تیم قرمز
  • دوره های آموزشی
  • فازینگ
  • کنفرانس ،دوره ، وبینار ، لایو ، CTF
  • لیست های ویژه
  • ماشین آسیب پذیر
  • مجله
  • مقالات
  • مهندسی معکوس نرم افزار

پست های مرتبط

  • آسیب پذیری امنیتی
  • اخبار
seyyid
On بهمن 4, 1402

اصلاح 14 آسیب پذیری در محصولات اسپلانک

  • آسیب پذیری امنیتی
  • اخبار
  • مقالات
seyyid
On اردیبهشت 22, 1403

بررسی هفتگی آسیب پذیری های منتشر شده در ZDI – (از 8 تا 21 اردیبهشت)

  • آنالیز بدافزار
  • اخبار
  • بازیگران تهدید
seyyid
On شهریور 9, 1402شهریور 10, 1402

عملیات شکار اردک : حذف QakBot

  • آسیب پذیری امنیتی
  • اخبار
  • توسعه اکسپلویت
  • مهندسی معکوس نرم افزار
seyyid
On دی 30, 1402دی 30, 1402

شرایط ، اهداف و جوایز Pwn2Own Vancouver 2024

درباره ما

بعد از چندین سال فعالیت تو حوزه امنیت سایبری و تولید محتوا در شبکه های اجتماعی ، بالاخره تصمیم گرفتیم تا یه سایت راه اندازی کنیم و مطالب رو ساده تر ، در یک محیط منسجم و طبقه بندی شده به دست مخاطب برسونیم. امیدوارم که قدمی در راستای رشد امنیت سایبری کشورمون برداشته باشیم.

تگ ها

0day APT command injection Deserialization of Untrusted Data Directory Traversal FBI Fortinet Heap buffer overflow integer overflow kali LockBit Memory Corruption nuclei Off By One Security out-of-bounds write Out of bounds read Patch Tuesday PWN2OWN Stack Buffer overflow type confusion use after free vulnerable wordpress XSS ZDI vulnerability آموزش اکسپلویت نویسی ارز دیجیتال اندروید اپل اکسپلویت باج افزار تلگرام زیرودی سیسکو فارنزیک فورتی نت فیشینگ لاک بیت مایکروسافت هوش مصنوعی وردپرس وردپرس آسیب پذیر ویندوز پلاگین کروم گوگل

شبکه های اجتماعی

    • Instagram
    • Telegram
    • Twitter
    • GitHub
    • YouTube
    • LinkedIn
      کپی مطالب با ذکر منبع بلامانع است | 1401-1404