Pwn2Own: Un bug-hunter vince una Tesla Model 3 da 200.000 dollari per un bug 0day sull’unità di controllo ECU

Redazione RHC : 21 Marzo 2024 12:26

Un team di ricercatori francesi nel campo della sicurezza ha vinto una Tesla Model 3 e 200.000 dollari dopo aver scoperto una vulnerabilità zero-day nell’unità di controllo elettronico (ECU) di un veicolo.

Il team Synacktiv era in cima alla classifica dopo un giorno del Pwn2Own Vancouver 2024, l’ultimo concorso di hacking organizzato dalla Zero Day Initiative (ZDI) di Trend Micro.

Si sa poco della vulnerabilità, poiché tutti i bug scoperti durante il concorso vengono comunicati in modo responsabile al relativo fornitore per l’applicazione delle patch. Tuttavia, quello che si sa è che Synacktiv ha utilizzato un singolo difetto di overflow di numeri interi per sfruttare una ECU Tesla con controllo CAN BUS del veicolo (VEH). Questa è la seconda macchina che vincono nelle competizioni Pwn2Own.

PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Il primo giorno del concorso ha visto la ZDI distribuire 732.500 dollari per 19 vulnerabilità zero-day uniche, che alla fine aiuteranno i fornitori che partecipano al concorso a rendere i loro prodotti più sicuri.

Altri punti salienti includono Manfred Paul, che ha ricevuto un totale di 102.500 dollari il giorno dopo aver ottenuto l’esecuzione di codice in modalità remota (RCE) su Apple Safari con un bug di underflow di numeri interi e aver dimostrato un bypass PAC utilizzando un punto debole nello stesso browser.

Nel secondo round del concorso, ha eseguito un exploit su entrambi i browser Chrome ed Edge con una rara vulnerabilità CWE-1284 “convalida impropria della quantità specificata in input”.

Subito dietro Paul, nella classifica di Pwn2Own c’è il team sudcoreano Theori, che ha guadagnato 130.000 dollari dopo aver combinato un bug non inizializzato, una vulnerabilità use-after-free (UAF) e un heap buffer overflow per uscire da una workstation VMware e quindi eseguire il codice sul sistema operativo host.

I concorrenti di Vancouver  ieri hanno ricevuto anche un premio in denaro per aver trovato zero-day in Adobe Reader, Windows 11, Ubuntu Linux e Oracle VirtualBox. In palio un totale di 1,3 milioni di dollari in contanti e premi durante i tre giorni dell’evento.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli