Hacker guadagnano oltre 500.000 dollari al Pwn2Own Ireland 2025, 34 zero-day scoperti in un solo giorno

La prima giornata del Pwn2Own Ireland 2025, tenutasi a Cork dal 21 al 24 ottobre, ha visto i migliori ricercatori di sicurezza del mondo sfruttare 34 vulnerabilità zero-day uniche in diversi dispositivi, conquistando un totale di 522.500 dollari in premi. L'evento, organizzato dalla Zero Day Initiative (ZDI) di Trend Micro, ha l'obiettivo di individuare falle di sicurezza prima che vengano sfruttate da cybercriminali, offrendo ai produttori 90 giorni per correggerle prima della divulgazione pubblica.

Il momento clou della giornata è stato il successo del duo Bongeun Koo e Evangelos Daravigkas del Team DDOS, che hanno concatenato otto vulnerabilità zero-day per violare il router QNAP Qhora-322 attraverso l'interfaccia WAN e ottenere poi l'accesso al NAS QNAP TS-453E. L'attacco ha fruttato loro 100.000 dollari e la seconda posizione nella classifica Master of Pwn con 8 punti.

Tra gli altri vincitori, Synacktiv Team, Sina Kheirkhah (Summoning Team), DEVCORE, e Stephen Fewer di Rapid7 hanno guadagnato 40.000 dollari ciascuno per aver ottenuto i privilegi di root rispettivamente su dispositivi Synology BeeStation Plus, DiskStation DS925+, QNAP TS-453E e Home Assistant Green.

Pwn2Own Ireland 2025: ulteriori eventi degni di nota

Il Summoning Team si è distinto anche con unaltra impresa: Sina Kheirkhah e McCaulay Hudson hanno combinato due zero-day per ottenere l'accesso root su un Synology ActiveProtect Appliance DP320, guadagnando ulteriori 50.000 dollari. Con un totale di 102.500 dollari e 11,5 punti, il team guida attualmente la classifica generale.

Altri exploit degni di nota sono arrivati da STARLabs, Team PetoWorks, Team ANHTUD e Ierae, che hanno violato per quattro volte la stampante Canon imageCLASS MF654Cdw. STARLabs ha inoltre hackerato lo speaker Sonos Era 300 (50.000 dollari), mentre Team ANHTUD ha colpito il Philips Hue Bridge, guadagnando 40.000 dollari.

Il Pwn2Own 2025 include otto categorie di dispositivi, dai flagship smartphone (Apple iPhone 16, Samsung Galaxy S25, Google Pixel 9) ai dispositivi smart home e wearable come i Meta Ray-Ban Smart Glasses. Per la prima volta, la ZDI offre anche una taglia da 1 milione di dollari per chi riuscirà a dimostrare un exploit zero-click su WhatsApp.