Pwn2Own: Un bug-hunter vince una Tesla Model 3 da 200.000 dollari per un bug 0day sull’unità di controllo ECU

Redazione RHC : 21 Marzo 2024 12:26

Un team di ricercatori francesi nel campo della sicurezza ha vinto una Tesla Model 3 e 200.000 dollari dopo aver scoperto una vulnerabilità zero-day nell’unità di controllo elettronico (ECU) di un veicolo.

Il team Synacktiv era in cima alla classifica dopo un giorno del Pwn2Own Vancouver 2024, l’ultimo concorso di hacking organizzato dalla Zero Day Initiative (ZDI) di Trend Micro.

Si sa poco della vulnerabilità, poiché tutti i bug scoperti durante il concorso vengono comunicati in modo responsabile al relativo fornitore per l’applicazione delle patch. Tuttavia, quello che si sa è che Synacktiv ha utilizzato un singolo difetto di overflow di numeri interi per sfruttare una ECU Tesla con controllo CAN BUS del veicolo (VEH). Questa è la seconda macchina che vincono nelle competizioni Pwn2Own.

Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

Creare Un Sistema Ai Di Visual Object Tracking (Hands on)

Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake

Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?

Come Hackerare Un Sito WordPress (Hands on)

Il Cyberbullismo Tra Virtuale E Reale

Come Entrare Nel Dark Web In Sicurezza (Hands on)

Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Il primo giorno del concorso ha visto la ZDI distribuire 732.500 dollari per 19 vulnerabilità zero-day uniche, che alla fine aiuteranno i fornitori che partecipano al concorso a rendere i loro prodotti più sicuri.

Altri punti salienti includono Manfred Paul, che ha ricevuto un totale di 102.500 dollari il giorno dopo aver ottenuto l’esecuzione di codice in modalità remota (RCE) su Apple Safari con un bug di underflow di numeri interi e aver dimostrato un bypass PAC utilizzando un punto debole nello stesso browser.

Nel secondo round del concorso, ha eseguito un exploit su entrambi i browser Chrome ed Edge con una rara vulnerabilità CWE-1284 “convalida impropria della quantità specificata in input”.

Subito dietro Paul, nella classifica di Pwn2Own c’è il team sudcoreano Theori, che ha guadagnato 130.000 dollari dopo aver combinato un bug non inizializzato, una vulnerabilità use-after-free (UAF) e un heap buffer overflow per uscire da una workstation VMware e quindi eseguire il codice sul sistema operativo host.

I concorrenti di Vancouver  ieri hanno ricevuto anche un premio in denaro per aver trovato zero-day in Adobe Reader, Windows 11, Ubuntu Linux e Oracle VirtualBox. In palio un totale di 1,3 milioni di dollari in contanti e premi durante i tre giorni dell’evento.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli