全球資安賽事 Pwn2Own Ireland 2025 於 10 月 21 日揭幕。首日 17 次嘗試零失敗,主辦單位 Zero Day Initiative(ZDI)認列 34 個獨立 0-day,發出 522,500 美元獎金。該資安賽事是於 2025 年 10 月 21 日至 24 日 舉行,競賽項目涵蓋智慧裝置、印表機、NAS、路由器以及 SOHO Smash-up 等類別。
威聯通科技 (QNAP) 日前也宣布參與在愛爾蘭 Cork 舉行的 Pwn2Own Ireland 2025 資安競賽。作為全球最具影響力的漏洞研究與揭露舞台之一,Pwn2Own 匯聚了頂尖的安全研究人員,共同檢驗並推動資安防護的進步。
該公司在 2024年參與 Pwn2Own,已經獲得國際資安研究社群的關注,而2025年再度參賽,展現 QNAP 對於資安防護的長期投入與高度重視。
QNAP 的 TS-453E NAS 與 QHora-322 路由器均被列為比賽目標之一,並將接受研究人員的攻擊測試。QNAP 指出,這不僅有助於驗證 QNAP 的安全防護設計,也能及早掌握潛在的安全風險,持續加強產品防禦。
Master of Pwn 積分榜(Day 1)
| 名次 | 團隊 | 獎金 (USD) | 積分 |
|---|---|---|---|
| 1 | Summoning Team | $102,500 | 11.5 |
| 2 | Team DDOS | $100,000 | 8 |
| 3 | STAR Labs SG | $70,000 | 7 |
| 4 | ANHTUD | $50,000 | 6 |
| 5 | DEVCORE Intern | $40,000 | 4 |
資料來源:Zero Day Initiative (ZDI) 官方部落格「Pwn2Own Ireland 2025 – Day One Results」。
首日重點戰果
| 攻擊目標 | 攻擊團隊 / 成員 | 漏洞類型 | 獎金 (USD) | 積分 |
|---|---|---|---|---|
| QNAP Qhora-322 + TS-453E | Team DDOS(Bongeun Koo、Evangelos Daravigkas) | 多重注入與緩衝區溢位 | $100,000 | 10 |
| Synology BeeStation Plus | Synacktiv(@Tek_7987、@_Anyfun) | Stack Overflow | $40,000 | 4 |
| Synology DS925+ | Summoning Team(Sina Kheirkhah) | 雙漏洞(程式碼執行) | $40,000 | 4 |
| Home Assistant Green | Rapid7(Stephen Fewer) | SSRF + Command Injection | $40,000 | 4 |
| Home Assistant Green | Summoning Team(McCaulay Hudson) | 多漏洞(含重複) | $12,500 | 2.5 |
| Home Assistant Green | Compass Security(E. Barbeno 等) | 檔案寫入 + 明文資料傳輸 | $20,000 | 4 |
| Philips Hue Bridge | Team ANHTUD(Sang Nguyen Thien、mistsu) | 多重溢位 + OOB Read | $40,000 | 4 |
| Philips Hue Bridge | InnoEdge Labs(Hank Chen) | Auth Bypass + OOB Write | $20,000 | 4 |
| Canon imageCLASS MF654Cdw | STARLabs | Heap-based Buffer Overflow | $20,000 | 2 |
| Canon imageCLASS MF654Cdw | GMO Cybersecurity by Ierae(SHIMIZU Yutaro) | Stack Overflow | $10,000 | 2 |
| Canon imageCLASS MF654Cdw | Team ANHTUD(Nguyen Ba Nam Dung、Vu Chi Thanh) | Heap-based Buffer Overflow | $10,000 | 2 |
| HP DeskJet 2855e | Team Neodyme | Stack Overflow | $20,000 | 2 |
| Sonos Era 300 | STARLabs(dmdung) | Out-of-Bounds Access | $50,000 | 5 |
| Synology DP320 ActiveProtect | Summoning Team(Sina Kheirkhah、McCaulay Hudson) | 雙漏洞攻擊 | $50,000 | 5 |
資料來源:Zero Day Initiative (ZDI) 官方部落格「Pwn2Own Ireland 2025 – Day One Results」。
首日比賽各團隊上榜的榜單中,以攻破 Home Assistant Green、Synology 和 Canon 的最多,個別有三個項目列在榜上,飛利浦的 Hue Bridge 裝置則有兩個團隊找到漏洞而上榜,HP 印表機列在榜上的是 DeskJet 2855e, QNAP 的路由器和 NAS 組合則是被 Team DDOS 找到漏洞,這個產品組合的比賽是屬於 SOHO Smash-up,也是本次賽事中廠商贊助的高額獎金之一。
ZDI:攻防技術持續演進
ZDI 在賽後聲明指出,2025 年的參賽者不僅展現更高的漏洞鏈整合技巧,也反映出 SOHO 與家庭物聯網設備的資安防護仍存挑戰。官方強調:「這些漏洞將協助廠商在修補前提下提升防護,確保使用者生態系更安全。」
CyberQ 觀察,Pwn2Own 一直是全球最具指標性的白帽駭客競賽之一,首日即頒發超過半百萬美元獎金,顯示漏洞研究的商業價值與安全重要性持續攀升,而參與的廠商們,則在比賽中可以獲得自己產品的關鍵漏洞資料,讓他們有時間提早修補並把產品打磨得更好,也是這類資安賽事的主要意義。
隨著第二、三日賽程展開,全球資安社群目光都有聚焦在這系列頂尖攻防舞台上。請看我們下方報導的次日和第三日戰報。
本為題圖由 Google Gemini AI 生成
