Pwn2Own Ireland 2025: ponad 520 tys. dol. wypłat w 1. dniu — 34 zero-daye na drukarki, NAS-y i smart home

Wprowadzenie do problemu / definicja luki

Pierwszy dzień Pwn2Own Ireland 2025 (Cork, 21 października 2025 r.) zakończył się bez choćby jednej porażki: badaczom przyznano łącznie 522 500 USD za demonstracje 34 wcześniej nieznanych podatności w urządzeniach SOHO i IoT — od drukarek, przez NAS-y, po systemy smart home. Najwyższa pojedyncza nagroda (100 000 USD) trafiła do zespołu, który w kategorii SOHO Smashup połączył łańcuch błędów na routerze QNAP Qhora-322 i NAS-ie QNAP TS-453E.

W skrócie

• 34 zero-daye, 0 nieudanych prób, 522 500 USD w wypłatach za 1. dzień.
• SOHO Smashup (100 000 USD): 8-bugowy łańcuch na QNAP Qhora-322 + QNAP TS-453E.
• Inne głośne trafienia:
  • Synology ActiveProtect DP320 – 50 000 USD; Sonos Era 300 – 50 000 USD.
  • Home Assistant Green – wypłaty 40 000 / 20 000 / 12 500 USD.
  • Philips Hue Bridge – 40 000 i 20 000 USD; drukarki Canon/HP – do 20 000 USD.
• Dalszy przebieg: do czwartku (23 października) zaplanowana jest próba zero-click RCE w WhatsApp z nagrodą 1 000 000 USD.

Kontekst / historia / powiązania

Pwn2Own to cykl konkursów ZDI/Trend Micro, które premiują praktyczne exploity i przyspieszają odpowiedzialne ujawnianie podatności do producentów. Tegoroczna edycja w Irlandii obejmuje rekordowe stawki, w tym milion dolarów za 0-click w WhatsApp — nagrodę współsponsoruje Meta.
Dla porównania, w Berlinie 2025 łączna pula przekroczyła milion dolarów, ale dotyczyła głównie środowisk enterprise (VM, kontenery, serwery).

Analiza techniczna / szczegóły luki

ZDI opublikowało skrupulatny dziennik wyników Dnia 1, z którego wynika m.in.:

• Team DDOS: 8 różnych błędów (m.in. iniekcje) → SOHO Smashup: QNAP Qhora-322 (WAN) ⇒ pivot do QNAP TS-453E; 100 000 USD.
• Synacktiv: stack overflow ⇒ root na Synology BeeStation Plus; 40 000 USD.
• Summoning Team (Sina Kheirkhah / McCaulay Hudson): dwie luki ⇒ Synology ActiveProtect DP320; 50 000 USD. Osobno: root na Synology DS925+ (40 000 USD).
• Stephen Fewer (Rapid7): SSRF + command injection ⇒ Home Assistant Green; 40 000 USD.
• STAR Labs: OOB access ⇒ Sonos Era 300; 50 000 USD.
• Team ANHTUD / inni: overflowy/OOB/format string ⇒ Philips Hue Bridge / Canon MF654Cdw / QNAP TS-453E (nagrody 10–40 000 USD).

Relacja mediów branżowych (SecurityWeek, BleepingComputer) potwierdza powyższe, akcentując brak niepowodzeń oraz wysokie wypłaty za Synology, Sonos i Hue.

Praktyczne konsekwencje / ryzyko

• Ata­kujący po stronie Internetu (WAN): łańcuch SOHO Smashup pokazuje, iż ekspozycja routera z interfejsem WAN może posłużyć do przeskoku do zasobów LAN (NAS) i eskalacji skutków (exfiltracja danych kopii zapasowych, lateral movement).
• Ekosystem smart home: przejęcie Home Assistant czy Philips Hue ułatwia stałą obecność w sieci domowej/biurowej (persistencja), manipulację urządzeniami oraz nadużycia protokołów automatyzacji.
• NAS-y i rozwiązania backupowe: root na Synology (DS i ActiveProtect) oznacza ryzyko ransomware na kopiach zapasowych, czego nie wykryją klasyczne mechanizmy EDR hostów końcowych.

Rekomendacje operacyjne / co zrobić teraz

1. Inwentaryzacja ekspozycji: ograniczaj dostęp WAN do paneli routerów/NAS-ów; wymuś VPN/Zero Trust na zdalne zarządzanie.
2. Seg­mentacja: odseparuj IoT/drukarki/smart home od VLAN-ów produkcyjnych; zablokuj wsch./zach. ruch lateralny.
3. Zasady aktualizacji: monitoruj biuletyny ZDI i vendorów (okres karencji ZDI to zwykle 90 dni na łatki — planuj okna serwisowe).
4. Hardening NAS/backupów: WORM/immutable snapshots, odseparowane konta backupowe, testy odtwarzania, MFA do konsol zarządczych.
5. Telemetria i detekcja: reguły na SSRF/Command Injection/format string w ruchu do paneli webowych urządzeń; IDS/IPS przy strefach IoT.
6. Plan reagowania: runbooki na kompromitację urządzeń nie-agentowych (drukarki, mostki, inteligentne głośniki).

Różnice / porównania z innymi przypadkami

• Irlandia 2025 vs. Berlin 2025: w Cork dominują SOHO/IoT, natomiast Berlin skupiał się na VM/serwerach/OS; profil ryzyka dotyczy więc innych kontrolerów i wymaga większej uwagi sieciowej/IoT.
• Unikat tegorocznej Irlandii: milion za 0-click WhatsApp — po raz pierwszy w tej skali; regulamin doprecyzowuje też rozróżnienie „zero-click” vs. „one-click”.

Podsumowanie / najważniejsze wnioski

• Atak powierzchniowy SOHO/IoT pozostaje nośny i często niedoszacowany w organizacjach.
• Łańcuchy między urządzeniami (router ⇒ NAS) to realny scenariusz pivotu — konieczna jest segmentacja i minimalizacja ekspozycji.
• Okno 90 dni na łatki po Pwn2Own wymaga proaktywnego planowania zmian i testów.
• Obserwuj wyniki następnych dni — w harmonogramie (do 23 października 2025 r.) zaplanowano próbę zero-click RCE w WhatsApp z rekordową nagrodą.

Źródła / bibliografia

1. Zero Day Initiative — Pwn2Own Ireland 2025: Day One Results (21.10.2025). (zerodayinitiative.com)
2. SecurityWeek — Hackers Earn Over $520,000 on First Day of Pwn2Own Ireland 2025 (22.10.2025). (SecurityWeek)
3. BleepingComputer — Hackers exploit 34 zero-days on first day of Pwn2Own Ireland (21.10.2025). (BleepingComputer)
4. Zero Day Initiative — Pwn2Own Ireland 2025: The Full Schedule (20.10.2025). (zerodayinitiative.com)
5. Zero Day Initiative — Pwn2Own Ireland 2025 Rules (dot. definicji zero-/one-click). (zerodayinitiative.com)