“零日行動(dòng)”（Zero Day Initiative）的2021年P(guān)wn2Own奧斯汀黑客競賽已經(jīng)結(jié)束，參與者因他們在路由器、打印機(jī)、NAS設(shè)備、智能手機(jī)和智能揚(yáng)聲器設(shè)備上發(fā)現(xiàn)的零日漏洞而獲得的總收入超過100萬美元。來自法國的Synacktiv團(tuán)隊(duì)加冕Pwn大師，獲得20個(gè)積分，197500美元的獎(jiǎng)金。來自臺灣的DEVCORE戰(zhàn)隊(duì)名列第二，18個(gè)積分，180000美元的獎(jiǎng)金。本屆大賽的亮點(diǎn)之一是對打印機(jī)的攻擊挑戰(zhàn)，有十一個(gè)戰(zhàn)隊(duì)成功實(shí)現(xiàn)了對三款主流打印機(jī)的入侵，或接管或遠(yuǎn)程執(zhí)行代碼。

　　本年度奧斯汀Pwn2Own專注于黑客設(shè)備，ZDI稱這是迄今為止最大的Pwn2Own。白帽黑客在活動(dòng)的第一天賺了36.25萬美元，第二天賺了41.5萬美元，第三天賺了238750美元，還有6.5萬美元在第四天被瓜分。在比賽中發(fā)現(xiàn)了61個(gè)漏洞——這些漏洞通常是由多個(gè)漏洞連接起來的——參賽者總共獲得了1,081250美元的獎(jiǎng)金。

　　Sonos One智能音箱的獎(jiǎng)金最高。有兩個(gè)團(tuán)隊(duì)每人賺了6萬美元，他們實(shí)現(xiàn)了任意代碼執(zhí)行并控制了設(shè)備。

　　在Pwn2Own的歷史上，參與者首次入侵了打印機(jī)——活動(dòng)上展示了11個(gè)成功的打印機(jī)入侵，為研究人員賺取了近20萬美元。主辦方選擇了HP Color LaserJet Pro MFP M283fdw、利盟Lexmark MC3224i和佳能 ImageCLASS MF644Cdw三款打印機(jī)作為靶標(biāo)。

　　Pwn2Own上被黑的打印機(jī)

　　參閱：網(wǎng)絡(luò)打印機(jī)正在成為安全防御的死角和盲區(qū)，或成為黑客攻擊的入口點(diǎn)和立足點(diǎn)

　　對三星Galaxy S21的黑客攻擊只有一次成功，還有一次部分成功。成功的入侵嘗試獲得了5萬美元的獎(jiǎng)勵(lì)，部分成功的嘗試（包括一個(gè)已知的缺陷）獲得了2.5萬美元的獎(jiǎng)勵(lì)。

　　在路由器方面，參與者通過入侵思科、Netgear和TP-Link路由器獲得了超過24萬美元的收入。最高的獎(jiǎng)勵(lì)是3萬美元，獎(jiǎng)勵(lì)給了幾個(gè)通過廣域網(wǎng)接口利用思科路由器的團(tuán)隊(duì)。

　　在NAS類別中，黑客從西部數(shù)據(jù)展示了NAS設(shè)備漏洞的利用，共獲得44.5萬美元。最高的單筆賠償是4.5萬美元，用于破解設(shè)備固件的測試版。

　　總的來說，Synacktiv團(tuán)隊(duì)賺了最多的錢，將近20萬美元，其次是Devcore團(tuán)隊(duì)，18萬美元。

　　值得注意的是，在某些情況下，白帽黑客仍然可以通過他們的漏洞利用獲利數(shù)萬美元，即使他們利用了之前向受影響的供應(yīng)商披露的漏洞。

　　在本屆Pwn2Own大賽中，還沒有人試圖入侵電視和外部存儲設(shè)備。

　　供應(yīng)商已經(jīng)得到了在競賽中被利用的漏洞的詳細(xì)信息，他們將有120天的時(shí)間發(fā)布補(bǔ)丁。

　　雖然就漏洞利用嘗試入侵成功的次數(shù)而言，這次奧斯汀黑客大賽是最大的Pwn2Own，但支付的獎(jiǎng)金總額略低于4月份舉辦的 Pwn2Own，那次參與者因入侵Safari、Chrome、Edge、Windows 10、Ubuntu、Microsoft Teams、Zoom、Parallels 和 Microsoft Exchange獲得了超過120萬美元的獎(jiǎng)金 。