“零日行動”（Zero Day Initiative）的2021年Pwn2Own奧斯汀黑客競賽已經結束，參與者因他們在路由器、打印機、NAS設備、智能手機和智能揚聲器設備上發(fā)現的零日漏洞而獲得的總收入超過100萬美元。來自法國的Synacktiv團隊加冕Pwn大師，獲得20個積分，197500美元的獎金。來自臺灣的DEVCORE戰(zhàn)隊名列第二，18個積分，180000美元的獎金。本屆大賽的亮點之一是對打印機的攻擊挑戰(zhàn)，有十一個戰(zhàn)隊成功實現了對三款主流打印機的入侵，或接管或遠程執(zhí)行代碼。

　　本年度奧斯汀Pwn2Own專注于黑客設備，ZDI稱這是迄今為止最大的Pwn2Own。白帽黑客在活動的第一天賺了36.25萬美元，第二天賺了41.5萬美元，第三天賺了238750美元，還有6.5萬美元在第四天被瓜分。在比賽中發(fā)現了61個漏洞——這些漏洞通常是由多個漏洞連接起來的——參賽者總共獲得了1,081250美元的獎金。

　　Sonos One智能音箱的獎金最高。有兩個團隊每人賺了6萬美元，他們實現了任意代碼執(zhí)行并控制了設備。

　　在Pwn2Own的歷史上，參與者首次入侵了打印機——活動上展示了11個成功的打印機入侵，為研究人員賺取了近20萬美元。主辦方選擇了HP Color LaserJet Pro MFP M283fdw、利盟Lexmark MC3224i和佳能 ImageCLASS MF644Cdw三款打印機作為靶標。

　　Pwn2Own上被黑的打印機

　　參閱：網絡打印機正在成為安全防御的死角和盲區(qū)，或成為黑客攻擊的入口點和立足點

　　對三星Galaxy S21的黑客攻擊只有一次成功，還有一次部分成功。成功的入侵嘗試獲得了5萬美元的獎勵，部分成功的嘗試（包括一個已知的缺陷）獲得了2.5萬美元的獎勵。

　　在路由器方面，參與者通過入侵思科、Netgear和TP-Link路由器獲得了超過24萬美元的收入。最高的獎勵是3萬美元，獎勵給了幾個通過廣域網接口利用思科路由器的團隊。

　　在NAS類別中，黑客從西部數據展示了NAS設備漏洞的利用，共獲得44.5萬美元。最高的單筆賠償是4.5萬美元，用于破解設備固件的測試版。

　　總的來說，Synacktiv團隊賺了最多的錢，將近20萬美元，其次是Devcore團隊，18萬美元。

　　值得注意的是，在某些情況下，白帽黑客仍然可以通過他們的漏洞利用獲利數萬美元，即使他們利用了之前向受影響的供應商披露的漏洞。

　　在本屆Pwn2Own大賽中，還沒有人試圖入侵電視和外部存儲設備。

　　供應商已經得到了在競賽中被利用的漏洞的詳細信息，他們將有120天的時間發(fā)布補丁。

　　雖然就漏洞利用嘗試入侵成功的次數而言，這次奧斯汀黑客大賽是最大的Pwn2Own，但支付的獎金總額略低于4月份舉辦的 Pwn2Own，那次參與者因入侵Safari、Chrome、Edge、Windows 10、Ubuntu、Microsoft Teams、Zoom、Parallels 和 Microsoft Exchange獲得了超過120萬美元的獎金 。