Pwn2Own Toronto 2023, una competición de hackers organizada por la Zero Day Initiative (ZDI) de Trend Micro, reúne a cientos de investigadores de seguridad para descubrir y explotar vulnerabilidades de día cero en una amplia gama de dispositivos. En su primer día se han repartido un total de 438.750 dólares
El equipo Orca of Sea Security recibió la mayor recompensa del día, 60.000 dólares al ejecutar una cadena de explotación de dos vulnerabilidades, usando una lectura OOB y UAF, contra el altavoz Sonos Era 100.
Investigadores de Pentest Limited demostraron una validación de entrada incorrecta en el Samsung Galaxy S23, por lo que recibieron 50.000 dólares. Además, el mismo equipo ganó otros 40.000 dólares por ejecutar una cadena de dos fallos contra My Cloud Pro Series PR4100 usando un DoS y una falsificación de solicitudes del lado del servidor (SSRF).
Los equipos de Interrupt Labs y el equipo de ToChim trabajaron con el Samsung Galaxy S23. A través de una manipulación de la validación de entradas inadecuadas y aprovechando una lista permisiva de entradas permitidas, ambos equipos lograron violar el terminal, ganando 25.000 cada uno.
Otros participantes descubrieron vulnerabilidades de día cero en otros dispositivos, incluidas impresoras Canon, dispositivos Synology y QNAP NAS, enrutadores TP-Link y sistemas de vigilancia Wyze.
Con recompensas potenciales que superan el millón de dólares en total, el evento se ha convertido en un campo de batalla donde los investigadores de seguridad pueden mostrar sus habilidades y contribuir a mejorar el panorama de seguridad.
