世界トップクラスの倫理的ハッカーたちが今週東京で競い合っており、すでにテスラやその他の製品で40件近いゼロデイ脆弱性を発見しています。
Zero Day Initiative(ZDI)のPwn2Ownコンテストとして初となる自動車版は、1月24日から26日まで開催されます。ZDIは世界最大のベンダー非依存のバグバウンティプログラムで、倫理的ハッカーに対し、デジタル世界をより安全にするために製品の脆弱性を発見し、責任ある開示を行うよう奨励しています。
初日には、テスラのモデムに対する3つのバグを連鎖させた攻撃を含む24件のゼロデイが発見され、フランスのSynacktivチームは10万ドルを獲得しました。同チームはまた、Ubiquiti Connect EV Stationに対する2つのバグの連鎖で6万ドル、JuiceBox 40 Smart EV Charging Stationに対する新規の2つのバグの連鎖でも6万ドルを獲得しました。
英国のNCC Group も参戦し、Phoenix Contact CHARX SEC-3100充電コントローラーに対する不適切な入力検証を実証して3万ドル、Pioneer DMH-WT7600NEXデジタルレシーバーに対する3つのバグの連鎖で4万ドルを獲得しました。
テスラの脆弱性について詳しく読む:中国のハッカーがテスラ車を遠隔操作
執筆時点で、競技2日目のエクスプロイト実演により、さらに15件のゼロデイ脆弱性が発見されています。
Synacktivは再び、テスラのインフォテインメントシステムを攻撃する2つのバグの連鎖で的中させ、同グループは10万ドルを獲得しました。また、3つのバグの連鎖を用いてAutomotive Grade Linuxを悪用し、3万5000ドルの報奨金を得ました。
NCC Groupも再び激戦の中心におり、Alpine Halo9 iLX-F509メディアレシーバーに対して2つのバグの連鎖を用い、2万ドルを獲得しました。
これにより、これまでに支払われた賞金総額は100万ドルを超えました。ベンダーは、ZDIが公表する前に、コンテストで発見された脆弱性を修正するための90日間が与えられます。
2022年には、トレンドマイクロ傘下の同イニシアチブが、ベンダーのパッチ適用品質の低さや分かりにくいアドバイザリが、顧客を不必要な追加リスクにさらしていると警告しました。同イニシアチブは、これによりネットワーク防御側がリスク曝露を正確に評価できなくなり、不具合のある、または不完全なパッチによるリスクにさらされると主張しました。
その後、同イニシアチブは開示ポリシーを、標準の120日から、重大度に応じて90日から30日の範囲へと変更しました。
Pwn2Own Automotiveは明日終了します。
翻訳元: https://www.infosecurity-magazine.com/news/pwn2own-unearths-dozens-zeroday/
