Pwn2Own: Un bug-hunter vince una Tesla Model 3 da 200.000 dollari per un bug 0day sull’unità di controllo ECU

Un team di ricercatori francesi nel campo della sicurezza ha vinto una Tesla Model 3 e 200.000 dollari dopo aver scoperto una vulnerabilità zero-day nell’unità di controllo elettronico (ECU) di un veicolo.

Il team Synacktiv era in cima alla classifica dopo un giorno del Pwn2Own Vancouver 2024, l’ultimo concorso di hacking organizzato dalla Zero Day Initiative (ZDI) di Trend Micro.

Si sa poco della vulnerabilità, poiché tutti i bug scoperti durante il concorso vengono comunicati in modo responsabile al relativo fornitore per l’applicazione delle patch. Tuttavia, quello che si sa è che Synacktiv ha utilizzato un singolo difetto di overflow di numeri interi per sfruttare una ECU Tesla con controllo CAN BUS del veicolo (VEH). Questa è la seconda macchina che vincono nelle competizioni Pwn2Own.

Il primo giorno del concorso ha visto la ZDI distribuire 732.500 dollari per 19 vulnerabilità zero-day uniche, che alla fine aiuteranno i fornitori che partecipano al concorso a rendere i loro prodotti più sicuri.

Altri punti salienti includono Manfred Paul, che ha ricevuto un totale di 102.500 dollari il giorno dopo aver ottenuto l’esecuzione di codice in modalità remota (RCE) su Apple Safari con un bug di underflow di numeri interi e aver dimostrato un bypass PAC utilizzando un punto debole nello stesso browser.

Nel secondo round del concorso, ha eseguito un exploit su entrambi i browser Chrome ed Edge con una rara vulnerabilità CWE-1284 “convalida impropria della quantità specificata in input”.

Subito dietro Paul, nella classifica di Pwn2Own c’è il team sudcoreano Theori, che ha guadagnato 130.000 dollari dopo aver combinato un bug non inizializzato, una vulnerabilità use-after-free (UAF) e un heap buffer overflow per uscire da una workstation VMware e quindi eseguire il codice sul sistema operativo host.

I concorrenti di Vancouver  ieri hanno ricevuto anche un premio in denaro per aver trovato zero-day in Adobe Reader, Windows 11, Ubuntu Linux e Oracle VirtualBox. In palio un totale di 1,3 milioni di dollari in contanti e premi durante i tre giorni dell’evento.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks