Onderzoekers zijn er tijdens de Pwn2Own-wedstrijd in geslaagd om apparaten van QNAP en de Synology BeeStation Plus via onbekende kwetsbaarheden te hacken. Er zijn nog geen beveiligingsupdates beschikbaar om de gebruikte beveiligingslekken te patchen. In het geval van QNAP ging het om de Qhora-322-router en TS-453E-NAS. Daarbij wisten de onderzoekers eerst de router te compromitteren en daarna het aangesloten NAS-systeem.

Pwn2Own is een jaarlijks terugkerende hackwedstrijd waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden in populaire producten, software en diensten. Er zijn verschillende edities van het evenement. De komende dagen vindt in het Ierse Cork Pwn2Own Ireland plaats. De wedstrijd biedt onderzoekers verschillende categorieën, waaronder smartphones, WhatsApp, printers, NAS-apparaten, wearables, smart home devices en surveillancesystemen.

De hoogste beloning tijdens Pwn2Own Ireland is te verdienen met een zero-click exploit voor WhatsApp waardoor remote code execution mogelijk is. Dit levert een beloning van 1 miljoen dollar op. Vandaag hadden onderzoekers het voorzien op printers van HP en Canon, de QNNAP Qhora-322-router en TS-453E-NAS en de Synology BeeStation Plus. Beide printers werden gecompromitteerd, waardoor onderzoekers hun code op de apparaten konden uitvoeren. De aanvallen werden met elk 20.000 dollar beloond.

Bij de aanval op de Synology BeeStation Plus lieten onderzoekers van securitybedrijf Synacktiv zien hoe een aanvaller met toegang tot het NAS-systeem code met rootrechten kan uitvoeren. Deze aanval werd met 40.000 dollar beloond. De hoogste beloning was voor de combi-aanval tegen de QNAP-apparaten. Hiervoor is er tijdens Pwn2Own een aparte wedstrijdcategorie genaamd "SOHO Smashup". Onderzoekers moeten eerst een router van QNAP, MikroTik, Ubiquity of NEST zien te compromitteren en daarvan een verdere aanval tegen een aangesloten apparaat uit te voeren.

Onderzoekers van Team DDOS gebruikten acht verschillende kwetsbaarheden om eerst de QNAP Qhora-322-router te compromitteren, waarna ook de aangesloten TS-453E-NAS werd gehackt. Deze aanval werd met 100.000 dollar beloond. Details over de kwetsbaarheden zijn met de betreffende leveranciers gedeeld, zodat die beveiligingsupdates voor hun gebruikers en klanten kunnen ontwikkelen. Wanneer die verschijnen is onbekend. Morgen vindt dag twee van Pwn2Own Ireland plaats, waarbij onder andere de Philips Hue Bridge een doelwit is.