ZDI de Trend Micro destapa las vulnerabilidades y difunde el peligro
Trend Micro, líder global en ciberseguridad, ha anunciado los ganadores de su competición de otoño Pwn2Own realizada a través de Zero Day Initiative.
Se entregaron 989.750 dólares en premios a lo largo del evento con la compra de 63 zero-days únicos. El impacto en el mundo real si estas vulnerabilidades se convirtieran en armas para ser explotadas ascendería a 10 veces en tiempo, datos y pérdidas financieras.
"Como proveedores de seguridad, tenemos la responsabilidad no solo de proteger a nuestros clientes corporativos, sino también de hacer del mundo digital conectado un lugar más seguro en el que vivir y trabajar", afirma Dustin Childs, responsable de Threat Awareness en ZDI de Trend Micro. "Pwn2Own de este año ha revelado una gran cantidad de nuevas vulnerabilidades que harán exactamente eso, mientras que también pone de relieve la creciente amenaza a la seguridad de la fuerza de trabajo distribuida".
Se estima que el 80% de los empleados estadounidenses trabajan actualmente desde casa una parte o la totalidad del tiempo, según Gallup. Sin embargo, eso puede ampliar la superficie de ataque corporativa si dispositivos como routers, altavoces inteligentes, impresoras y almacenamiento conectado a la red (NAS) no están debidamente protegidos. Las vulnerabilidades de los dispositivos domésticos reveladas a través de Pwn2Own y Zero Day Initiative de Trend Micro sirven de base a la inteligencia sobre amenazas de Trend Micro, líder del sector, que protege las redes cada vez más interconectadas de consumidores y empresas.
Varias oleadas de ransomware Deadbolt que comprometieron dispositivos NAS globales este año ponen de relieve el riesgo potencial para las empresas.
Los atacantes también podrían utilizar los dispositivos conectados a pequeñas oficinas y oficinas domésticas (SOHO) comprometidos como punto de partida para el movimiento lateral dentro de una red, lo que podría conducir a un dispositivo conectado a los recursos corporativos.
Por este motivo, la competición Pwn2Own de otoño de este año incluía una categoría "SOHO Smashup" que desafiaba a los hackers a explotar un router Wi-Fi y un dispositivo conectado. Si los concursantes conseguían hacerse con el control total de ambos dispositivos en 30 minutos, podían ganar 100.000 dólares y 10 puntos Master of Pwn.
La concienciación sobre los riesgos de los equipos SOHO se produce en medio de medidas gubernamentales para aumentar la confianza de los compradores, en una tecnología en la que la responsabilidad de la seguridad suele recaer en el empleado y la empresa.
En la UE se está proponiendo legislación para imponer requisitos mínimos de seguridad a los proveedores de dispositivos conectados, mientras que en EE.UU. se están tomando medidas para lanzar un nuevo sistema de etiquetado similar a Energy Star.
Pwn2Own se celebró del 6 al 8 de diciembre de 2022 en las oficinas de Trend Micro en Toronto, y Trend Micro ofreció reembolsar hasta 3.000 dólares por gastos de viaje a los equipos que participaran en persona. Los que no pudieron asistir pudieron conectarse de forma remota.
El ganador absoluto de Master of Pwn fue DEVCORE, con 18,5 puntos y 142.500 dólares en premios.
