欢迎来到首届 Pwn2Own Automotive 活动:截至 2024 年 1 月 24 日 发文前的最新结果如下。
成功 – Sina Kheirkhah 成功执行了对 ChargePoint Home Flex 的攻击,赢得了 60,000 美元和 6 个 Master of Pwn 积分。
ChargePoint Home Flex是一款电动汽车充电桩,车主可以在家中为电动汽车充电
漏洞冲突– Cromulence 公司的 Rob Blakely7 成功对 Automotive Grade Linux 进行了攻击。然而,在攻击中使用了 n-day 漏洞利用。尽管如此,他仍然赚取了 47,500 美元和 3.75 个 Master of Pwn 积分。
Automotive Grade Linux是一款基于开放源代码的移动操作系统,系统支持的汽车厂商以及品牌有捷豹、路虎、本田、日产等。
成功 – PCAutomotive 团队成功使用 UAF 漏洞利用对 Alpine Halo9 iLX-F509 进行了攻击,赢得了 40,000 美元和 4 个 Master of Pwn 积分。
Alpine Halo9 iLX-F509,车载信息娱乐系统
成功 – fuzzware.io 的 Tobias Scharnowski 和 Felix Buchmann 对 Sony XAV-AX5500 进行了攻击,赢得了 40,000 美元和 4 个 Master of Pwn 积分。
XAV-AX5500为索尼2020年发布的一款全新的车载中控屏幕设备
成功 – Synacktiv 团队成功执行了对Tesla Modem包含 3 个漏洞的攻击链。他们赢得了 100,000 美元和 10 个 Master of Pwn 积分。
成功 – Katsuhiko Sato 对 Alpine Halo9 iLX-F509 执行了命令注入攻击。由于这是第二轮胜利,他赢得了 20,000 美元和 4 个 Master of Pwn 积分。
Alpine Halo9 iLX-F509,车载信息娱乐系统
失败 – Sina Kheirkhah 未能在规定的时间内使他对 Sony XAV-AX5500 的攻击生效。
成功 – NCC Group EDG 团队对 Pioneer DMH-WT7600NEX 执行了一个包含 3 个漏洞的攻击链。他们赚取了 40,000 美元和 4 个 Master of Pwn 积分。
先锋DMH-WT 7600 NEX 车载信息娱乐系统
成功 – Synacktiv 团队对 Ubiquiti Connect EV Station 使用了包含 2 个漏洞的攻击链,赚取了 60,000 美元和 6 个 Master of Pwn 积分。
Ubiquiti Connect EV Station 电动汽车充电桩
成功 – RET2 Systems 团队对 Phoenix Contact CHARX SEC-3100 执行了包含 2 个漏洞的攻击链。他们赚取了 60,000 美元和 6 个 Master of Pwn 积分。
成功 – Midnight Blue / PHP Hooligans 团队对 Sony XAV-AX5500 执行了基于堆栈的缓冲区溢出攻击。他们赢得了 20,000 美元和 4 个 Master of Pwn 积分。
XAV-AX5500为索尼2020年发布的一款全新的车载中控屏幕设备
成功 – u0K++ 的 Vudq16 和 Q5CA 成功对 Alpine Halo9 iLX-F509 执行了基于堆栈的缓冲区溢出攻击。他们赚取了 20,000 美元和 4 个 Master of Pwn 积分。
Alpine Halo9 iLX-F509,车载信息娱乐系统
漏洞冲突 – Synacktiv 团队对 ChargePoint Home Flex 使用了一个包含两个漏洞的攻击链。然而,他们使用的漏洞之前已知。尽管如此,他们仍然赚取了 16,000 美元和 3 个 Master of Pwn 积分。
ChargePoint Home Flex是一款电动汽车充电桩,车主可以在家中为电动汽车充电
失败 – Sina Kheirkhah 未能在规定的时间内使他对 Phoenix Contact CHARX SEC-3100 的攻击生效。
成功–Gary Li Wang对索尼XAV-AX 5500使用了基于堆栈的缓冲区溢出。他赢得了20,000美元和4个Pwn积分。
成功– Synacktiv针对JuiceBox 40智能电动汽车充电站执行了2个错误链。他们获得60,000美元和6个Pwn积分。
漏洞冲突 –Connor Ford的Nettitude执行他的攻击对 ChargePoint Home Flex.。不过,他的漏洞链是之前就知道的。他仍然赚了16,000美元和3个Pwn点数。
ChargePoint Home Flex是一款电动汽车充电桩,车主可以在家中为电动汽车充电
漏洞冲突 –Chris Anastasio 和 Fabius Watson 团队成功地攻击了ChargePoint Home Flex。然而,他们使用的漏洞是以前已知的。他们仍然可以获得16,000美元和3个Pwn积分。
ChargePoint Home Flex是一款电动汽车充电桩,车主可以在家中为电动汽车充电
成功– NCC Group EDG针对Phoenix Contact CHARX SEC-3100使用了不正确的输入验证。他们获得30,000美元和6个Pwn积分。
充电控制器 CHARX SEC-3100
失败 – Sina Kheirkhah无法在规定的时间内利用JuiceBox 40 Smart EV充电站。
原文始发于微信公众号(安全脉脉):爆多个漏洞 | Pwn2Own Automotive 2024 第一天结果
