Суммарный размер выплаченных вознаграждений составил 886 тысяч долларов США. Наиболее успешный участник Sina Kheirkhah сумел заработать на соревнованиях 222 тысячи долларов США. Обладатели второго места (Synacktiv) получили 147 тысяч долларов, а третьего (PHP Hooligans) - 110 тысяч долларов.
В ходе соревнований продемонстрированы следующие атаки:
- Взлом окружения на базе дистрибутива Automotive Grade Linux ($33500).
- Девять взломов информационно-развлекательной системы на базе платформы Alpine iLX-507 ($20000, два по $10000 за эксплоиты, использующие переполнение буфера; два по $10000 за эксплоиты, использующие подстановку команд; $10000 за эксплоит, использующий ошибку проверки сертификата и обход файловых путей; три по $5000 за эксплуатацию уязвимости, уже используемой на прошлогоднем соревновании, но оставшейся неисправленной).
- Пять взломов информационно-развлекательной системы Sony XAV-AX8500 ($20000 за эксплоит, использующий целочисленное переполнение; $10000 за эксплоит, использующий переполнение буфера; $10000 за эксплоит, использующий обход аутентификации и переполнение буфера; $10000 за эксплоит, использующий подстановку команд; $5000 за эксплуатацию уже известной уязвимости).
- Восемь взломов информационно-развлекательной системы на базе платформы Kenwood DMX958XR ($20000 и пять по $10000 за эксплоиты, использующие подстановку команд в ОС; $10000 за эксплоит, использующий переполнение буфера; два по $5000 за эксплуатацию уже известной уязвимости).
- Три взлома зарядной станции Phoenix Contact CHARX SEC-3150 ($41750 за эксплоит с задействованием цепочки из трёх ошибок; $25000 за эксплоит, использующий подстановку команд и ошибку в коде аутентификации; $25000).
- Три взлома зарядной станции ChargePoint Home Flex ($47500 за эксплоит, использующий переполнение буфера и ошибку в OCPP; $18750 за эксплоит, использующий подстановку команд; $25000).
- Два взлома зарядной станции Ubiquiti Connect EV Station ($50000 за эксплоит, использующий оставленный в прошивке криптографический ключ; $26750).
- Три взлома зарядной станции WOLFBOX Level 2 EV Charger ($50000 и два по $18750).
- Пять взломов зарядной станции Tesla Wall Connector ($50000; $22500, $45000 и два по $12500).
- Четыре взлома зарядной станции Autel MaxiCharger AC Wallbox Commercial ($50000, $25000 и $23000 за эксплоиты, использующие переполнение буфера; $35000).
Шесть попыток взломов устройств Sony XAV-AX8500, Autel MaxiCharger AC, WOLFBOX Level 2 EV Charger, EMPORIA EV Charger Level 2, ChargePoint HomeFlex и Alpine iLX-507 завершились неудачей.
В соответствии с условиями конкурса детальная информация о всех продемонстрированных 0-day уязвимостях будет опубликована только через 90 дней, которые даются на подготовку производителями обновлений с устранением уязвимостей.
Источник: https://www.opennet.ru/opennews/art.shtml?num=62614
(opennet.ru, основная лента)
