„Zeroday Cloud“ įsilaužimo renginys apdovanoja 320 000 USD už 11 nulių dienų

„Zeroday Cloud“ įsilaužimo konkursas Londone tyrėjams skyrė 320 000 USD už kritinių nuotolinio kodo vykdymo pažeidžiamumą debesų infrastruktūroje naudojamuose komponentuose.

Pirmasis įsilaužimo renginys buvo skirtas debesų sistemoms, o konkursą rengia „Wiz Research“, bendradarbiaudama su „Amazon Web Services“, „Microsoft“ ir „Google Cloud“.

Per 13 įsilaužimo seansų tyrėjams pavyko 85 % įsilaužimo bandymų, parodydami 11 nulinės dienos pažeidžiamumų.

Tinklaraščio įraše, kuriame apibendrinamas renginys, pažymima, kad per pirmąją dieną buvo skirta 200 000 USD už sėkmingą Redis, PostgreSQL, Grafana ir Linux branduolio problemų išnaudojimą.

Per antrąją dieną mokslininkai uždirbo dar 120 000 USD, parodydami „Redis“, „PostgreSQL“ ir „MariaDB“ – populiariausių debesų sistemų naudojamų duomenų bazių, skirtų svarbiai informacijai (pvz., kredencialams, paslaptims, slaptai vartotojo informacijai) saugoti, išnaudojimus.

„Linux“ branduolys buvo pažeistas dėl konteinerio pabėgimo trūkumo, kuris leido užpuolikams nutraukti debesies nuomininkų izoliaciją ir pakenkti pagrindinei debesų saugos garantijai.

Kibernetinio saugumo kompanijų „Zellic“ ir „DEVCORE“ tyrėjai už sėkmę buvo apdovanoti 40 000 USD.

Dirbtinis intelektas taip pat buvo tema, kai buvo bandoma įsilaužti į vLLM ir Ollama modelius, kurie galėjo atskleisti privačius AI modelius, duomenų rinkinius ir raginimus, tačiau abu bandymai nepavyko dėl išnaudoto laiko.

Pasibaigus pirmajam „Zeroday Cloud“ konkursui, „Team Xint Code“ buvo karūnuota čempione už sėkmingą „Redis“, „MariaDB“ ir „PostgreSQL“ išnaudojimą. Už savo tris išnaudojimus Team Xint Code gavo 90 000 USD.

Nepaisant teigiamų rezultatų, skirta suma yra tik nedidelė dalis viso 4,5 mln.

Tinkamos kategorijos ir produktai, kurie nepastebėjo jokių išnaudojimų konkurse, yra AI (Ollama, vLLM, Nvidia Container Toolkit), Kubernetes, Docker, žiniatinklio serveriai (ngnix, Apache Tomcat, Envoy, Caddy), Apache Airflow, Jenkins ir GitLab CE.