Ogni anno, Pwn2Own attira la comunità della sicurezza informatica con la scoperta di vulnerabilità critiche nei dispositivi e nei software di uso quotidiano. Dal 22 al 25 ottobre, l’edizione irlandese di Pwn2Own a Dublino ha riunito esperti e hacker etici per testare la sicurezza di diverse apparecchiature (NAS, router, telecamere IP, stampanti), utilizzate sia da aziende che da privati. Ecco uno sguardo ai difetti scoperti nei prodotti di produttori come QNAP, Synology, TrueNAS e Ubiquiti.
Cos’è Pwn2Own?
Pwn2Own è un concorso sulla sicurezza informatica lanciato dalla Zero Day Initiative (ZDI), un’organizzazione di ricerca sulla sicurezza gestita da Trend Micro. Il suo obiettivo è semplice: incoraggiare i ricercatori di sicurezza informatica a identificare e sfruttare le vulnerabilità nei software, nei sistemi operativi e nell’hardware più diffusi. L’hardware viene solitamente fornito dai produttori per mettere alla prova i propri dispositivi. I partecipanti lavorano in un quadro sicuro, supervisionato e vincolato per rilevare le vulnerabilità 0-day (vulnerabilità non documentate).
In gioco ci sono ricompense interessanti (in dollari) che variano a seconda della gravità e dell’impatto del difetto rilevato.
QNAP: rivelate vulnerabilità
Il produttore QNAP ha attirato particolarmente l’attenzione dei ricercatori di sicurezza informatica. Diversi team hanno scoperto difetti critici che consentono l’esecuzione di codice remoto sul NAS TS-464così come il router QHora-322.
QNAP ha già rilasciato una dichiarazione e annunciato che le patch verranno implementate rapidamente per contrastare queste minacce.
Synology: sicurezza sotto attacco
Synology non è stata risparmiata. I ricercatori hanno rivelato diverse falle che consentono l’accesso non autorizzato ai dati archiviati. Il produttore ha preso atto dei risultati e si è impegnato a rafforzare i propri aggiornamenti di sicurezza il prima possibile. La fotocamera TC500 è stato bloccato, così come il DS1823xs+ e il BeeStation.
Synology ha già aggiornato Foto Synology (Synology-SA-24:19) e BeePhotos (Synology-SA-24:18).
TrueNAS: una debolezza sorprendente
Anche TrueNAS è stato interessato. È stata identificata una falla nell’escalation dei privilegi, che consente a un utente malintenzionato con accesso limitato di ottenere diritti amministrativi e assumere il pieno controllo del file TrueNAS Mini.
TrueNAS non ha ancora comunicato.
Ubiquiti: una porta difficile da aprire
La telecamera di sorveglianza Proiettile AI di Ubiquiti è stato anche preso di mira da numerosi attacchi. Tuttavia, solo una squadra è riuscita a sfruttare una scappatoia entro il limite di tempo.
Ubiquiti sta attualmente lavorando allo sviluppo di patch per proteggere i suoi prodotti.
Conclusione e conseguenze di Pwn2Own Ireland 2024
L’edizione 2024 di Pwn2Own Ireland evidenzia l’importanza della sicurezza informatica nelle nostre apparecchiature quotidiane. Le vulnerabilità scoperte dimostrano che i nostri dispositivi sono gli obiettivi principali dei criminali informatici. Le scoperte fatte durante questa edizione spingono i produttori a migliorare ulteriormente i propri sistemi.
Ti ricordiamo di mantenere aggiornati i tuoi dispositivi e di applicare le patch il prima possibile…
fonte e immagini
Related News :