百萬美元懸賞落空但成果豐碩:Pwn2Own 愛爾蘭 2025 揭示企業資安新戰場 全球頂尖資安競賽 Pwn2Own Ireland 2025 於 2025 年 10 月 21 至 23 日在愛爾蘭科克市圓滿落幕,三天賽事共發現 73 個獨特零日漏洞,主辦單位趨勢科技 Zero Day Initiative(ZDI)累計發放獎金高達 102 萬 4,750 美元(約港幣 799.3 萬元)。本屆競賽由 Summoning Team 以 22 點積分和 18 萬 7,500 美元(約港幣 146.25 萬元)獎金奪得「黑客大師」(Master of Pwn) 最高榮譽。
頂尖團隊角逐黑客大師頭銜
Summoning Team 在本屆賽事中展現全方位攻擊能力,成功攻破三星 Galaxy S25 旗艦手機、Synology DiskStation DS925+ NAS、Home Assistant Green 智慧家居中樞、Synology ActiveProtect Appliance DP320 NAS、Synology CC400W 攝影機,以及 QNAP TS-453E NAS 裝置等多款產品。該團隊成員 Sina Kheirkhah 是資安領域知名的進階 .NET 漏洞研究專家,曾協助多家廠商包括施耐德電機發現關鍵漏洞。緊追在後的 ANHTUD 團隊以 11.5 點積分獲得第二名,累積 7 萬 6,750 美元(約港幣 59.87 萬元)獎金,而法國資安公司 Synacktiv 則以 11 點積分奪得季軍,抱走 9 萬美元(約港幣 70.2 萬元)獎金。
值得注意的是本屆賽事首日表現最為驚艷的 Team DDOS,他們串聯八個零日漏洞組成完整攻擊鏈,先從 WAN 介面入侵 QNAP QHora-322 路由器,再橫向移動攻破 QNAP TS-453E NAS 裝置,這項「SOHO Smashup」類別的複雜攻擊為他們贏得單次挑戰最高獎金 10 萬美元(約港幣 78 萬元)及 10 個 Master of Pwn 積分。這種多重漏洞串聯的攻擊手法反映出現代黑客攻擊的演進趨勢,單一漏洞已不足以突破多層防禦架構,攻擊者必須具備發掘多個弱點並巧妙串接的能力。最終 Team DDOS 以 10 點積分位居第四,總獎金 11 萬美元(約港幣 85.8 萬元),而越南 Viettel Cyber Security 團隊則以 9.25 點和 4 萬 5,000 美元(約港幣 35.1 萬元)獎金排名第五。
百萬美元 WhatsApp 挑戰的神秘轉折
本屆賽事最受全球資安界矚目的焦點,無疑是 ZDI 首次提供史上最高單項獎金 100 萬美元(約港幣 780 萬元),挑戰 WhatsApp 零點擊 (zero-click) 漏洞利用。零點擊攻擊被視為通訊軟件安全的「聖杯」等級挑戰,因為它無需使用者任何操作,攻擊者即可透過零日漏洞遠端執行程式碼並完全控制目標裝置。然而原定挑戰的 Team Z3 成員 Eugene 在表定時間臨時宣布撤銷參賽,ZDI 官方聲明表示「Team Z3 撤回了 WhatsApp 項目,因為他們認為研究尚未準備好公開展示」。
雖然未能在競賽舞台上演示,這項研究仍引起 Meta 高度關注,Team Z3 選擇透過 ZDI 分析師進行初步評估,之後將交由 Meta 工程師處理。資安新聞網站 SecurityWeek 報導指出,最終向 Meta 揭露的僅為兩個低風險漏洞,而非原先預期的重大零點擊攻擊鏈。然而這起事件突顯出頂尖漏洞研究的敏感性與複雜性,研究人員必須在公開展示、負責任揭露與研究成熟度之間取得平衡。值得注意的是 WhatsApp 在 2025 年確實經歷過真實的零點擊攻擊威脅,今年 8 月 WhatsApp 修補了 CVE-2025-55177 漏洞,該漏洞與 Apple 的 CVE-2025-43300 影像處理漏洞串聯,被用於針對記者、國防官員及公民社會人士的高度複雜間諜軟件攻擊。
企業級裝置成為資安新戰場
本屆 Pwn2Own Ireland 2025 涵蓋八大類別目標,包括旗艦智慧型手機 (Apple iPhone 16、三星 Galaxy S25、Google Pixel 9)、通訊應用程式、智慧家居裝置、印表機、家用網路設備、網路儲存系統、監控設備,以及穿戴式科技 (包括 Meta 的 Ray-Ban 智慧眼鏡和 Quest 3/3S 頭戴裝置)。今年賽事特別擴大攻擊向量,在流動裝置類別中新增 USB 埠利用攻擊,要求參賽者透過實體連接攻破上鎖的手機,但傳統的藍牙、Wi-Fi 和近場通訊 (NFC) 等無線協定仍然是有效的攻擊途徑。
Google 威脅情報小組 (GTIG) 的最新統計顯示,2024 年全球共有 75 個零日漏洞在野外被主動利用,其中針對企業特定技術的攻擊暴增,佔所有零日漏洞利用的 44%,主要集中在 VPN 和防火牆等安全與網路產品。Mandiant 的 M Trends 2025 報告更證實,連續第五年漏洞利用成為企業遭入侵的首要途徑,佔所有調查案件的 33%。這個趨勢與 Pwn2Own 競賽目標的演變高度一致,從早期的瀏覽器和作業系統,逐步擴展至企業級 NAS、路由器、監控系統等網路邊緣裝置。資安公司 Bugcrowd 的 2025 年 CISO 調查報告更揭示,全球硬件漏洞激增 88%,主要歸因於 IoT 裝置的快速普及與不安全的設計。
趨勢科技研究人員在 2025 年 10 月發布的 RondoDox 殭屍網路報告中警告,黑客組織正系統性地追蹤 Pwn2Own 等競賽揭露的漏洞,快速將研究成果武器化用於大規模攻擊。該殭屍網路活動利用超過 50 個漏洞,針對 30 多家廠商的網路邊緣裝置發動攻擊,展現出從漏洞揭露到惡意利用之間的時間窗口正在快速縮短。這突顯出企業必須建立更積極主動的安全態勢,包括定期漏洞評估、網路分段以限制橫向移動、減少網際網路暴露面,以及持續監控異常跡象。
ZDI 建立全球最大漏洞揭露生態系
趨勢科技旗下的 Zero Day Initiative 自 2005 年成立以來,已發展成全球最大的非限定廠商漏洞懸賞計畫。根據市場研究機構 Omdia 的 2024 年報告,ZDI 在 2023 年負責全球 60% 的漏洞揭露,包括 57% 的重大嚴重性漏洞、58% 的高嚴重性漏洞,以及 68% 的中等嚴重性漏洞。到了 2024 年這個比例更進一步提升至 73%,超過所有其他參與廠商的總和。ZDI 運作模式的核心在於負責任的漏洞揭露流程,研究人員發現的漏洞會直接回報給產品供應商促使修補,而非用於惡意目的或在暗網販售。
ZDI 建立了嚴格的揭露時間軸機制,要求廠商在收到漏洞報告後 120 天內發布修補程式,若廠商未能及時回應,ZDI 將在其網站上發布漏洞的精選技術細節,確保廠商不會忽視報告。這種機制為趨勢科技客戶提供獨特優勢,他們能在攻擊發生前就獲得虛擬修補程式 (virtual patching),通常比官方更新早兩個月以上。隨著資安意識提升,越來越多供應商主動尋求 ZDI 社群協助,Tesla、Meta、QNAP 和 Synology 等科技企業不但贊助 Pwn2Own 競賽,更主動將自家產品納入研究範圍。
ZDI 在 2025 年 8 月慶祝成立 20 週年,並宣布 Pwn2Own 競賽持續擴展,下一場賽事將於 2026 年 1 月 21 至 23 日在東京舉行 Pwn2Own Automotive 汽車資安競賽,Tesla 將再次擔任贊助商。從 2007 年誕生於加拿大溫哥華 CanSecWest 資安大會的小型比賽,最初獎金僅 1 萬美元(約港幣 7.8 萬元),到如今每年舉辦三場、總獎金經常超過 100 萬美元(約港幣 780 萬元)的全球最負盛名黑客大賽,Pwn2Own 已成為驅動全球資安研究創新的重要引擎。對於參賽的頂尖「白帽黑客」而言,豐厚獎金固然誘人,但更大的動力來自對漏洞研究的熱愛、挑戰稀有攻擊目標的渴望,以及獲得「Master of Pwn」黑客大師頭銜的全球肯定。
資料來源:Zero Day Initiative、BleepingComputer、Hackread、Trend Micro、DeepStrike
