Anunciáronse os resultados da competición ZeroDay Cloud, celebrada na conferencia Black Hat Europe e cuxo obxectivo era identificar vulnerabilidades no software de código aberto empregado en contornas na nube. Durante o evento, demostráronse 11 vulnerabilidades descoñecidas previamente en Redis, PostgreSQL, MariaDB e o kernel. Linux и Grafana. Размер выплаченных вознаграждений составил 320 тысяч долларов при общем заявленном призовом фонде в 4.5 млн долларов.
Segundo as regras da competición, os participantes debían demostrar exploits funcionais que aproveitasen vulnerabilidades de día cero previamente descoñecidas. Na categoría de "Virtualización", os exploits debían permitir escapar dun contedor ou máquina virtual illada, mentres que nas outras categorías debían levar á execución remota de código. As configuracións para as aplicacións pirateadas publicáronse en GitHub.
Ataques demostrados:
- Cinco ataques á base de datos Redis que resultaron na execución remota de código durante o acceso autenticado (cinco recompensas de 30.000 dólares).
- Tres ataques ao SGBD PostgreSQL que resultaron na execución remota de código durante o acceso autenticado (tres recompensas de 30.000 $).
- Ataque a MariaDB que resultou na execución remota de código mediante acceso autenticado (tres recompensas de 30.000 $).
- Execución remota de código na plataforma de visualización de datos de Grafana con acceso autenticado á interface (10.000 $).
- Атака на ядро Linux, позволившая выйти из изолированного контейнера в Ubuntu (30.000 dólares).
- Dous intentos de atacar a vLLM e Ollama resultaron infrutuosos, xa que os participantes non conseguiron completar o ataque dentro do tempo asignado.
O equipo Xint Code foi declarado gañador despois de atacar con éxito Redis, PostgreSQL e MariaDB, obtendo 90 dólares. Cabe destacar que as vulnerabilidades demostradas polo equipo Xint Code foron identificadas mediante o analizador de IA Xint Code.
A maior recompensa de 300 dólares ofrecida polo ataque informático de NGINX seguiu sen reclamarse, do mesmo xeito que as recompensas de 100 dólares ofrecidas polos ataques informáticos non autenticados de Apache Tomcat, Redis, PostgreSQL e MariaDB. Non se recibiron reclamacións polos ataques informáticos de Docker, Containerd, Envoy, Caddy, NVIDIA Container Toolkit, Kubernetes API Server, Kubelet Server, Prometheus, Fluent Bit, Apache Airflow, Jenkins e GitLab CE.
Os detalles sobre a natureza das vulnerabilidades aínda non están dispoñibles. De acordo coas condicións do concurso, proporcionouse información detallada sobre todas as vulnerabilidades identificadas aos desenvolvedores dos proxectos afectados, que se publicará despois de que os provedores publiquen os parches.
Fonte: opennet.ru
