Evento de bug bounty paga quase US$ 1 mi por 63 vulnerabilidades críticas

Nada menos do que 63 falhas de segurança críticas foram descobertas em apenas três dias de Pwn2Own Toronto, com um pagamento de US$ 989,7 mil (cerca de 5,1 milhões) em prêmios. A versão canadense de um dos principais eventos de bug bounty do mundo aconteceu na última semana, entre os dias 6 e 9 de dezembro, com a descoberta de quatro explorações graves no smartphone Samsung Galaxy S22 sendo um dos destaques principais.

• Participantes de bug bounty podem faturar até R$ 120 mil em menos de um ano]
• 5 falhas abrem brechas para ciberataques em empresas

Em uma das aberturas localizadas no aparelho, por exemplo, uma falha na validação de entrada de dados poderia levar a explorações maliciosas; a brecha pagou um dos maiores prêmios do evento, no valor de US$ 50 mil, aproximadamente R$ 262 mil. Outra vulnerabilidade semelhante foi encontrada no software de calculadora do Galaxy S22, rendendo US$ 25 mil, ou cerca de R$ 130 mil, aos especialistas responsáveis, enquanto uma terceira brecha levou apenas 55 segundos para ser executada pelos pesquisadores.

Entre as mais de 60 falhas encontradas, também estão diferentes dispositivos da Internet das Coisas, impressoras, roteadores, modems e sistemas de armazenamento de marcas como HP, Canon, Netgear, TP-Link, Lexmark, Western Digital e outras. Entretanto, ao contrário do que era esperado pela organização, neste ano, o Pwn2Own Toronto não contou com tentativas de comprometimento de aparelhos como o iPhone 13 e o Google Pixel 6.

No caso que ilustra essa matéria, por exemplo, os especialistas foram capazes de exigir a figura do "Pikachu chocado" na tela de uma impressora da Canon, em uma brecha que permitiria a modificação de elementos internos do sistema para roubar dados ou propiciar invasões. Em outro exemplo com um dispositivo da marca, foi possível realizar a execução remota de código, o que possibilitaria a instalação de malware ou a movimentação lateral pela rede.

Após uma etapa prévia de inscrição, na qual os times indicam o que desejam executar em cada dispositivo, as explorações são demonstradas ao vivo diante de um painel de especialistas. As brechas são validadas a partir de aparelhos rodando as últimas atualizações, em suas configurações padrão, mas não são reveladas publicamente, mas sim com poucos detalhes, para que não sejam exploradas por cibercriminosos.

Além de valores em dinheiro, que quanto mais altos, maior a criticidade das falhas zero-day encontradas, os times também ganham pontos que contribuem para um ranking geral. Nesta edição do Pwn2Own, a equipe vencedora foi a DEVCORE, de Taiwan, que oferece serviços profissionais de testes de penetração e submete redes corporativas a tentativas legítimas de intrusão, para que as aberturas possam ser encontradas antes que o perigo real apareça. Os pesquisadores do time receberam, na soma, US$ 142,5 mil, ou cerca de R$ 744 mil em conversão direta.

Agora, todos os fabricantes de dispositivos e produtos comprometidos durante os três dias de evento serão notificados, com os detalhes técnicos de todas as brechas sendo revelados a eles. Todos têm 120 dias, o chamado período de divulgação responsável, para lançarem atualizações ou correções antes que as informações sejam divulgadas ao público.

Fonte: Pwn2Own Toronto