Onderzoekers hebben tijdens de tweede en derde dag van de jaarlijkse hackwedstrijd Pwn2Own Tokyo verschillende zerodayaanvallen tegen een een nas-systeem van fabrikant Synology en een router van fabrikant TP-Link gedemonstreerd waardoor de apparaten zijn over te nemen. Er zijn nog geen beveiligingsupdates beschikbaar om de gebruikte kwetsbaarheden te verhelpen.

Pwn2Own is een jaarlijkse door het Zero Day Initiative (ZDI) georganiseerde hackwedstrijd met edities in Vancouver en Tokyo. Onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden in allerlei software en hardware. Bij de editie van Tokyo, die vanwege het coronavirus virtueel wordt gehouden, staan wearables, smart speakers, beveiligingscamera's, smart televisies, routers en nas-servers centraal.

Op de eerste dag werden al verschillende succesvolle aanvallen tegen Netgear Nighthawk R7800-router en Western Digital My Cloud Pro Series PR4100 vertoond. Tijdens dag twee en drie moesten de TP-Link AC1750 Smart WiFi-router en Synology DiskStation DS418Play-nas eraan geloven. Onderzoekers van team Flashback wisten via drie kwetsbaarheden de TP-Link-router via de WAN-interface over te nemen, wat hen een beloning van 20.000 dollar opleverde.

Team Synacktiv maakte voor hun succesvolle aanval ook gebruik van drie onbekende kwetsbaarheden. De aanval was echter tegen de LAN-interface van de router gericht en werd beloond met 5.000 dollar. Onderzoekers van team Devcore zijn met hun zerodayaanval op de Synology DiskStation DS418Play-nas 20.000 dollar rijker geworden. Via een heap overflow is het mogelijk voor een aanvaller die toegang to de nas heeft om willekeurige code uit te voeren. Team Starlabs liet zien hoe het via een race condition en out-of-bounds read mogelijk is om een root shell op het nas-systeem van Synology te verkrijgen. Ook deze aanval leverde 20.000 dollar op.

Al op de eerste dag hadden onderzoekers laten zien hoe ze een reverse shell op een volledig gepatchte Samsung Q60T-televisie konden krijgen. Er werd echter van een bekende kwetsbaarheid gebruikmaakt. Tijdens de derde dag van het evenement demonstreerden onderzoekers van team Viettel Cyber Security hoe ze gevoelige gegevens van een Sony X800-tv konden lezen. Net als bij de aanval tegen de Samsung-tv maakten de onderzoekers gebruik van een bekend beveiligingslek.

De kwetsbaarheden die de onderzoekers van hun aanvallen gebruikten worden nu gedeeld met de betreffende fabrikanten, zodat die beveiligingsupdates kunnen ontwikkelen. Daarna zullen de technische details openbaar worden gemaakt.