ProHoster > Blog > noticias de internet > Concurso de vulnerabilidades en la nube ZeroDay con un premio de 4.5 millones de dólares

Concurso de vulnerabilidades en la nube ZeroDay con un premio de 4.5 millones de dólares

La primera competición ZeroDay Cloud, cuyo objetivo es identificar vulnerabilidades en software de código abierto utilizado en entornos de nube, se celebrará en Londres los días 10 y 11 de diciembre en la conferencia Black Hat Europe. El premio total de la competición es de 4.5 millones de dólares. El premio mayor, 300 dólares, se ofrece por hackear nginx. Se ofrecen recompensas de 100 dólares por hackear Apache Tomcat, Redis, PostgreSQL y MariaDB.

Para recibir premios, los participantes deben demostrar que sus exploits funcionan y explotan vulnerabilidades de día cero previamente desconocidas. En la categoría "Virtualización", los exploits deben permitir escapar de un contenedor aislado o una máquina virtual, mientras que en las demás categorías, deben permitir la ejecución remota de código. Las configuraciones de las aplicaciones hackeadas están alojadas en GitHub.

Se proponen las siguientes categorías, aplicaciones de ataque y recompensas:

  • Contenedores y virtualización:
    • Docker ($40,000 para una imagen de contenedor preparada por un atacante y $60,000 para un ataque que utilice cualquier imagen),
    • Contenedor ($40,000/$60,000),
    • Paquete de kernel de Linux de Ubuntu ($30,000).
  • Servidores web:
    • nginx ($300,000),
    • Apache Tomcat (100.000 dólares),
    • Enviado ($50,000),
    • Caddie ($50,000).
  • SGBD:
    • Redis ($25,000 para RCE con acceso autenticado, $100,000 para no autenticado),
    • PostgreSQL ($20,000/$100,000),
    • MariaDB ($20,000/$100,000).
  • AI:
    • Ollama ($25,000),
    • vLLM ($25,000),
    • NVIDIA Container Toolkit (40 000 dólares por salida de contenedor).
  • Kubernetes y nativo de la nube:
    • Servidor API de Kubernetes ($40,000),
    • Servidor Kubelet ($80,000),
    • Grafana ($10,000 para RCE para inicio de sesión autenticado y $40,000 para RCE sin autenticación),
    • Prometeo ($40,000),
    • Fluent Bit ($10,000).
  • Herramientas de automatización y DevOps:
    • Apache Airflow ($40,000),
    • Jenkins ($40,000),
    • GitLab CE ($40,000).

Se aceptan solicitudes hasta el 1 de diciembre. No pueden participar los empleados de las empresas patrocinadoras (AWS, Microsoft, Google Cloud, Wiz) ni los residentes de países sancionados (Rusia, China, Irán, Corea del Norte, Cuba, Sudán, Siria, Libia y Líbano).

Fuente: opennet.ru

Añadir un comentario