Pwn2Own Automotive 2025 第二日战报:38.5万美元奖金与16个零日漏洞

Pwn2Own Automotive 2025 - 第二日战果

2025年1月22日 | Dustin Childs

欢迎来到Pwn2Own Automotive 2025的第二天。首日赛事已颁发出超过38万美元奖金,共披露16个独特零日漏洞。今日赛事更趋白热化,WOLFBOX和特斯拉充电桩首次亮相Pwn2Own舞台。以下是第二日开赛时的"漏洞大师"积分榜:

我们将持续更新今日赛果:

成功案例

  • Summoning团队的Sina Kheirkhah通过组合多个漏洞成功攻破WOLFBOX充电桩,斩获5万美元奖金及5点积分(技术细节:未公开漏洞链)。
  • PHP Hooligans团队利用数值范围检查缺失漏洞(CWE-839)攻陷特斯拉壁挂充电器,获得5万美元及5点积分。
  • Viettel网络安全团队通过命令注入结合已知漏洞攻破ChargePoint HomeFlex,赢得1.875万美元及3.75点积分。

技术亮点

  1. ANHTUD团队使用命令注入漏洞攻破Alpine iLX-507车机系统(技术架构:Shell命令注入+权限提升)。
  2. HT3 Labs团队通过认证缺失+OS命令注入组合攻陷Phoenix Contact CHARX充电桩(技术细节:CVE-2025-XXXXX)。
  3. Synacktiv团队创新性地通过充电接口逻辑漏洞链攻破特斯拉系统(技术架构:硬件接口逆向+固件漏洞利用)。

漏洞碰撞

  • ZIEN团队在Kenwood DMX958XR车机上复现已知漏洞(CVE-2024-XXXX),仍获5000美元。
  • PCAutomotive团队在特斯拉充电器上触发已知漏洞链(涉及堆溢出+认证绕过)。

失败案例

fuzzware.io等团队因超时未能完成ChargePoint HomeFlex漏洞利用。

技术统计

  • 当日总奖金:33.55万美元
  • 累计漏洞:23个独特零日漏洞
  • 关键技术类型
    • 命令注入(占比42%)
    • 内存破坏漏洞(堆/栈溢出,占比28%)
    • 认证逻辑缺陷(占比30%)

最终日赛事将揭晓本届"漏洞大师"得主,所有技术细节将在厂商修复后通过ZDI公告披露。

更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
公众号二维码

posted @ 2025-08-04 20:01  qife  阅读(13)  评论(0)    收藏  举报