폰투오운(Pwn2Own) 아일랜드 2024 첫날, 참가자들이 총 52개의 제로데이 취약점을 다양한 장치에서 시연하며 48만 6천 달러의 상금을 획득했다. 베트텔 사이버 시큐리티(Viettel Cyber Security)가 13점을 기록하며 “Master of Pwn” 타이틀 경쟁에서 선두를 달렸다. 이 팀의 푸드큐(phudq)와 남엔피(namnp)는 로렉스(Lorex) 2K 와이파이 카메라에서 스택 기반 버퍼 오버플로우 취약점을 이용해 3만 달러와 3점을 얻었다.
Summoning Team의 시나 케어르카(Sina Kheirkhah)는 9개의 취약점을 연계해 QNAP QHora-322 라우터에서 트루나스 미니 엑스(TrueNAS Mini X) 장치까지 침투하는 해킹을 선보였고, 이로 인해 10만 달러와 10점을 획득하며 주목받았다.
RET2 시스템즈(RET2 Systems)의 잭 데이츠(Jack Dates)는 소노스 에라(Sonos Era) 300 스마트 스피커에서 성공적으로 OOB(Out-of-Bounds) 쓰기 취약점을 이용해 장치의 완전한 제어권을 얻었으며, 이로 인해 6만 달러와 6점을 기록했다.
베트텔 사이버 시큐리티는 두 번째 시도에서도 4개의 새로운 버그를 결합해 QNAP QHora-322 라우터에서 트루나스 미니 엑스로 축을 이동하며 추가로 5만 달러와 10점을 더했다.
이 밖에도 주목할 만한 시도들로는 네오다임(Neodyme) 팀이 HP 컬러 레이저젯 프로 MFP 3301fdw 프린터를 스택 기반 버퍼 오버플로우로 공격해 2만 달러와 2점을 얻은 사례와, PHP 훌리건즈/미드나잇 블루(PHP Hooligans / Midnight Blue)가 캐논(Canon) imageCLASS MF656Cdw 프린터에서 단일 버그를 이용해 2만 달러를 획득한 사례 등이 있다.
또한 ANHTUD의 엑스럭(ExLuck)은 4개의 새로운 버그, 특히 잘못된 인증서 검증 및 하드코딩된 암호화 키 문제를 이용해 QNAP TS-464 NAS 장치를 해킹해 4만 달러와 4점을 획득하며 리더보드에 이름을 올렸다.
첫날 일부 도전은 시간 부족으로 인해 실패하거나, 취약점 충돌로 인해 예상보다 적은 상금을 받는 등 어려움을 겪기도 했다. 예를 들어 소환 팀은 QNAP TS-464와 시놀로지 비스테이션(Synology BeeStation) 공격을 시간 내에 완료하지 못했고, 신악티브(Synacktiv)는 로렉스 2K 카메라 공격에서 버그 충돌로 인해 상금이 1만 1,250달러로 줄어들었다.
첫날부터 치열한 경쟁이 이어진 Pwn2Own 아일랜드 2024는 3일간 SOHO 장치, 프린터, NAS 시스템, 와이파이 카메라, 라우터, 스마트 스피커, 모바일 폰(삼성 갤럭시 S24) 등에서 완전하게 패치된 보안 문제를 찾아내기 위한 도전이 계속될 예정이다.
![[뉴스핌 라씨로] 셀바스AI, 'AI 의료' 신사업 추진..."데이터 기반 '예측 서비스' 시장 공략"](https://img.newspim.com/news/2024/10/23/2410230904564010.jpg)
