792.750 dollari in un giorno! 56 zeroday rilevati al Pwn2Own Ireland 2025

Nella seconda giornata della competizione Pwn2Own Ireland 2025, i partecipanti hanno ottenuto un successo impressionante, scoprendo 56 nuove vulnerabilità zero-day e guadagnando un totale di 792.750 dollari. Questa è la seconda fase della competizione, che si tiene a Cork, in Irlanda, dove gli specialisti della sicurezza si sfidano per individuare vulnerabilità critiche nei dispositivi e nei software più diffusi.

Una delle performance più degne di nota è stata l’hack riuscito di un dispositivo Samsung Galaxy S25, in cui un team di due persone, Ken Gannon del Mobile Hacking Lab e Dimitrios Valsamaras del Summoning Team, ha sfruttato una complessa combinazione di cinque falle.

Per questo attacco, hanno ricevuto un premio di 50.000 dollari e 5 punti nella classifica Master of Pwn. Sebbene il team PHP Hooligans sia riuscito ad hackerare un dispositivo NAS QNAP TS-453E in un secondo, la vulnerabilità sfruttata era già stata utilizzata nel programma, quindi il loro risultato non ha stabilito un nuovo record.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Anche altri partecipanti che hanno attaccato il QNAP TS-453E, il Synology DS925+ e il bridge Philips Hue hanno ricevuto 20.000 dollari ciascuno. Tra questi, Chumi Tsai di CyCraft Technology, nonché rappresentanti di Verichains Cyber Force e Synacktiv Team. Inoltre, il secondo giorno, sono state sfruttate con successo vulnerabilità precedentemente sconosciute nella stampante Canon imageCLASS MF654Cdw, nel sistema di domotica Home Automation Green, nella fotocamera Synology CC400W, nel NAS Synology DS925+, nell’Amazon Smart Plug e nella stampante Lexmark CX532adwe.

Dopo due giorni di competizione, il Summoning Team rimane in testa, con un guadagno di 167.500 dollari e un punteggio di 18. Anche il primo giorno di competizione è stato produttivo : i partecipanti hanno scoperto 34 vulnerabilità e hanno ricevuto un totale di 522.500 dollari. Secondo il regolamento della competizione, i produttori di dispositivi hanno 90 giorni di tempo per correggere le vulnerabilità scoperte prima che vengano divulgate pubblicamente dal progetto ZDI.

L’ultimo giorno di Pwn2Own, previsto per il 24 ottobre, prevede nuovi tentativi di attacco al Samsung Galaxy S25, nonché a vari dispositivi di archiviazione e stampa. Un momento clou è la dimostrazione di un attacco di esecuzione di codice remoto senza clic su WhatsApp, potenzialmente l’offerta più preziosa, con un premio di 1 milione di dollari. Un partecipante di nome Eugene del Team Z3 intende tentare questo attacco.

Il concorso è supportato da Meta , Synology e QNAP. Il programma del 2025 comprende otto categorie, che includono smartphone di punta (Samsung Galaxy S25, iPhone 16, Pixel 9), elettronica per la casa e l’ufficio, app di messaggistica, dispositivi per la smart home, sistemi di videosorveglianza e dispositivi indossabili, tra cui i visori Meta Quest 3/3S e gli occhiali intelligenti Ray-Ban.

Quest’anno, gli organizzatori hanno ampliato i vettori di attacco consentiti, includendo lo sfruttamento delle vulnerabilità tramite connessioni USB a smartphone bloccati. Tuttavia, i protocolli wireless standard come Wi-Fi, Bluetooth e NFC continuano a essere utilizzati insieme all’accesso fisico.

L’anno scorso, in una competizione Pwn2Own simile in Irlanda, i partecipanti hanno ricevuto un montepremi complessivo di 1.078.750 dollari per aver identificato oltre 70 vulnerabilità. Il team Viettel Cyber Security è uscito vittorioso, aggiudicandosi 205.000 dollari per aver attaccato con successo dispositivi QNAP, Sonos e Lexmark.

Nel gennaio 2026, ZDI tornerà a Tokyo con una versione automobilistica della competizione Pwn2Own Automotive , organizzata nell’ambito della fiera Automotive World. Tesla la sosterrà ancora una volta.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.