En el primer día de Pwn2Own Ireland 2025, los investigadores de seguridad explotaron 34 días cero únicos y recaudaron 522.500 dólares en premios en efectivo.
Lo más destacado del día fueron Bongeun Koo y Evangelos Daravigkas del equipo DDOS. encadenando ocho fallas de día cero para piratear el enrutador inalámbrico Ethernet QNAP Qhora-322 a través de la interfaz WAN y obtener acceso a un dispositivo NAS QNAP TS-453E. Por este exitoso intento, ganaron $100,000 y ahora están en el segundo lugar en la clasificación de Master of Pwn con 8 puntos.
Synacktiv Team, Sina Kheirkhah del Summoning Team, DEVCORE Team y Stephen Fewer de Rapid7 también ganaron $40,000 cada uno después de obtener raíces en Synology BeeStation Plus, Synology DiskStation DS925+, QNAP TS-453E y Home Assistant Green, respectivamente.
Los investigadores de STARLabs, Team PetoWorks, Team ANHTUD e Ierae piratearon la impresora láser multifunción Canon imageCLASS MF654Cdw cuatro veces, mientras que STARLabs también pirateó el altavoz inteligente Sonos Era 300 para ganar $50,000, y el Team ANHTUD explotó el puente Phillips Hue para recolectar $40,000 en efectivo.
Sina Kheirkhah y McCaulay Hudson del Summoning Team han utilizado una cadena de exploits que combina dos días cero para obtener raíz en un Synology ActiveProtect Appliance DP320 y ganar otros 50 000 dólares.
El equipo invocador ganó un total de $102,500 durante el primer día de la competencia y está en la cima de la clasificación de Master of Pwn con 11,5 puntos.
La Zero Day Initiative (ZDI) organiza el evento para identificar vulnerabilidades de seguridad en dispositivos específicos antes de que los actores de amenazas puedan explotarlas, coordinando la divulgación responsable con los proveedores afectados.
Después de que se explotan las fallas de día cero durante los eventos Pwn2Own, los proveedores tienen 90 días para publicar actualizaciones de seguridad antes de que la Iniciativa de Día Cero de Trend Micro las divulgue públicamente.
El concurso de hacking Pwn2Own Irlanda 2025 cuenta con ocho categorías dirigido a teléfonos inteligentes emblemáticos (Apple iPhone 16, Samsung Galaxy S25 y Google Pixel 9), aplicaciones de mensajería, dispositivos domésticos inteligentes, impresoras, equipos de redes domésticas, sistemas de almacenamiento en red, equipos de vigilancia y tecnología portátil (incluidas las gafas inteligentes Ray-Ban de Meta y los auriculares Quest 3/3S).
Este año, la ZDI también amplió los vectores de ataque para la categoría de dispositivos móviles para incluir la explotación de puertos USB para teléfonos móviles, lo que requiere que los competidores pirateen teléfonos bloqueados a través de conexiones físicas. Sin embargo, los protocolos inalámbricos tradicionales como Bluetooth, Wi-Fi y comunicación de campo cercano (NFC) siguen siendo vectores de ataque válidos.
el segundo dialos investigadores de seguridad volverán a centrarse en dispositivos en las categorías de almacenamiento conectado a la red, impresoras, hogares inteligentes y sistemas de vigilancia, así como en el Samsung Galaxy S25 en la categoría de teléfonos móviles.
Como se anunció en agosto, ésta es también la primera vez que ZDI Ofrecer una recompensa de 1 millón de dólares. a investigadores de seguridad que hacen una demostración de un exploit de WhatsApp sin hacer clic que permite la ejecución de código sin interacción del usuario.
Meta, junto con QNAP y Synology, copatrocina el concurso de piratería Pwn2Own Ireland 2025, que se llevará a cabo del 21 al 24 de octubre en Cork, Irlanda.
Durante el evento Pwn2Own Ireland del año pasado, los investigadores de seguridad ganó $1,078,750 por más de 70 vulnerabilidades de día cero, y Viettel Cyber Security recaudó 205.000 dólares por errores de QNAP, Sonos y Lexmark.
En enero de 2026, el ZDI volverá a la feria tecnológica Automotive World de Tokio para su tercer concurso Pwn2Own Automotivecon el regreso de Tesla como patrocinador.
El 46% de los entornos tenían contraseñas descifradas, casi el doble que el 25% del año pasado.
Obtenga ahora el Informe Picus Blue 2025 para obtener una visión completa de más hallazgos sobre tendencias de prevención, detección y filtración de datos.
