Han pasado apenas unas horas desde el inicio del evento de hacking Pwn2Own Austin 2021 y ya se han presentado reportes de vulnerabilidades severas en dispositivos de uso común, incluyendo fallas de seguridad en impresoras, presentadas en este tipo de evento por primera vez. Los investigadores participantes han ganado un total de $360,000 USD por demostrar exploits contra impresoras, dispositivos NAS e incluso altavoces inteligentes.
Una de las primeras intervenciones, a cargo de investigadores de Synacktiv, presentó un exploit capaz de comprometer las impresoras Canon ImageCLASS, mientras que los expertos de Devcore demostraron la presencia de una vulnerabilidad en Canon ImageCLASS y HP Color LaserJet Pro.
Además, los expertos de Devcore mostraron cómo ejecutar código arbitrario en un smart speaker de Sonos, recibiendo una recompensa de $60,000 USD, la más alta pagada por un error en esta clase de dispositivos.
Sobre otras presentaciones, el primer día del evento organizado por The Zero Day Initiative ocurrió un intento fallido por comprometer la seguridad de un Samsung Galaxy S21, aunque este modelo de smartphone seguirá siendo objeto de pruebas a lo largo del evento. Hasta el momento no se conoce de presentaciones de exploits para smart TVs, dispositivos de almacenamiento local u otras implementaciones similares.
Cabe recordar que esta edición del evento se enfoca en las implementaciones de hardware, ya que las presentaciones de exploits en software tuvieron lugar el pasado mes de abril. En esa ocasión, se presentaron métodos para la explotación de vulnerabilidades en navegadores web, software de virtualización, servidores e implementaciones de comunicación empresaria.
Si bien las recompensas entregadas durante Pwn2Own 2021 resultan atractivas para los investigadores, otros eventos han entregado premios mucho más altos; la Copa Tianfu, un evento de hacking llevado a cabo en China, entregó más de $2 millones USD en su más reciente edición, presentando reportes de vulnerabilidades en Microsoft Exchange, Chrome, Safari, herramientas de Adobe, Docker, VMware y otras implementaciones.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
