Security

Hackers Eksploitasi 34 Zero-Day di Hari Pertama Pwn2Own Ireland 2025

October 22, 2025
2 minutes read

Ajang Pwn2Own Ireland 2025 dibuka dengan gebrakan besar — para peneliti keamanan berhasil mengeksploitasi 34 celah zero-day dalam satu hari dan mengantongi total hadiah sebesar USD 522.500 (sekitar Rp8,3 miliar).

🏆 Sorotan Hari Pertama: Team DDOS Tembus Dua Perangkat QNAP Sekaligus

Duo Bongeun Koo dan Evangelos Daravigkas dari Team DDOS menjadi bintang utama hari pertama setelah menggabungkan delapan celah zero-day untuk meretas router QNAP Qhora-322 melalui antarmuka WAN dan mendapatkan akses ke NAS QNAP TS-453E.
Atas prestasi itu, mereka memenangkan USD 100.000 dan kini menempati posisi kedua di papan peringkat Master of Pwn dengan 8 poin.

💻 Pemenang Lainnya

Beberapa tim keamanan ternama juga menunjukkan kemampuan mereka:

  • Synacktiv Team, Sina Kheirkhah (Summoning Team), DEVCORE Team, dan Stephen Fewer (Rapid7) masing-masing meraih USD 40.000 setelah berhasil mendapatkan akses root di:
    • Synology BeeStation Plus
    • Synology DiskStation DS925+
    • QNAP TS-453E
    • Home Assistant Green
  • STARLabs, Team PetoWorks, Team ANHTUD, dan Ierae researchers berhasil meretas printer Canon imageCLASS MF654Cdw sebanyak empat kali.
    STARLabs juga meretas Sonos Era 300 smart speaker (hadiah USD 50.000), sementara Team ANHTUD mengeksploitasi Philips Hue Bridge (USD 40.000).
  • Summoning Team (Sina Kheirkhah & McCaulay Hudson) menggunakan rantai eksploit dua zero-day untuk mengambil alih Synology ActiveProtect DP320, memenangkan USD 50.000 tambahan.
    Total pendapatan mereka di hari pertama mencapai USD 102.500, menempatkan mereka di posisi pertama klasemen dengan 11,5 poin.

🎯 Tentang Pwn2Own Ireland 2025

Kompetisi ini diselenggarakan oleh Zero Day Initiative (ZDI), sebuah program dari Trend Micro yang bertujuan untuk menemukan dan melaporkan celah keamanan sebelum dimanfaatkan oleh peretas jahat.
Vendor yang produknya diretas diberikan waktu 90 hari untuk merilis patch sebelum detail kerentanan dipublikasikan secara terbuka.

Kategori serangan tahun ini mencakup:

  • Smartphone flagship: Apple iPhone 16, Samsung Galaxy S25, Google Pixel 9
  • Aplikasi pesan: termasuk WhatsApp
  • Perangkat smart home dan IoT: printer, NAS, router, perangkat wearable (termasuk Meta Ray-Ban Smart Glasses dan Quest 3/3S)

Untuk pertama kalinya, ZDI menawarkan hadiah USD 1 juta bagi siapa pun yang berhasil mendemonstrasikan eksploitasi zero-click WhatsApp — serangan yang bisa mengeksekusi kode tanpa interaksi pengguna.

🔐 Fakta Menarik

  • Tahun lalu, peserta Pwn2Own Ireland mengantongi lebih dari USD 1 juta dari 70+ zero-day.
  • Viettel Cyber Security menjadi juara umum 2024 dengan total USD 205.000 untuk eksploit di QNAP, Sonos, dan Lexmark.
  • Event berikutnya, Pwn2Own Automotive 2026, akan berlangsung di Tokyo pada Januari mendatang, dengan Tesla kembali sebagai sponsor utama.

Sumber: Trend Micro Zero Day Initiative (ZDI), BleepingComputer

Tags
October 22, 2025
2 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button