Հայտարարվել են Black Hat Europe համաժողովում անցկացված ZeroDay Cloud մրցույթի արդյունքները, որը նպատակ ուներ բացահայտել ամպային միջավայրերում օգտագործվող բաց կոդով ծրագրային ապահովման խոցելիությունները: Միջոցառման ընթացքում ցուցադրվել են Redis-ում, PostgreSQL-ում, MariaDB-ում և միջուկում նախկինում անհայտ 11 խոցելիություններ: Linux և Գրաֆանա։ Մրցանակային ընդհանուր ֆոնդը կազմել է 320 դոլար՝ հայտարարված 4.5 միլիոն դոլար մրցանակային ֆոնդից։
Մրցույթի կանոնների համաձայն՝ մասնակիցները պարտավոր էին ցուցադրել գործող շահագործումներ, որոնք շահագործում էին նախկինում անհայտ զրոյական օրվա խոցելիությունները: «Վիրտուալիզացիա» կատեգորիայում շահագործումները պետք է թույլ տային դուրս գալ մեկուսացված կոնտեյներից կամ վիրտուալ մեքենայից, մինչդեռ մյուս կատեգորիաներում դրանք պետք է հանգեցնեին հեռակա կոդի կատարման: Կոտրված հավելվածների կարգավորումները հրապարակվել են GitHub-ում:
Ապացուցված հարձակումներ.
- Redis տվյալների բազայի վրա հինգ հարձակում, որոնք հանգեցրել են հեռակա կոդի կատարմանը հաստատված մուտքի ժամանակ (հինգ 30,000 դոլարի պարգևատրում):
- PostgreSQL DBMS-ի վրա երեք հարձակում, որոնք հանգեցրին հեռակա կոդի կատարմանը հաստատված մուտքի ժամանակ (երեք՝ 30,000 դոլարի պարգևատրում):
- MariaDB հարձակում, որի արդյունքում կոդի հեռակա կատարումը տեղի է ունեցել հաստատված մուտքի միջոցով (երեք 30,000 դոլարի պարգևատրում):
- Հեռակա կոդի կատարում Grafana տվյալների վիզուալիզացիայի հարթակում՝ ինտերֆեյսին վավերացված մուտքով ($10,000):
- Հարձակում միջուկի վրա Linux, որը թույլ տվեց մեկուսացված տարան թողնել Ubuntu (40,000 դոլար):
- vLLM-ի և Ollama-ի վրա հարձակվելու երկու փորձերը անհաջող էին, քանի որ մասնակիցները չկարողացան ավարտել հարձակումը հատկացված ժամանակում։
Xint Code թիմը հաղթող ճանաչվեց Redis-ի, PostgreSQL-ի և MariaDB-ի վրա հաջողությամբ հարձակումից հետո՝ վաստակելով 90 դոլար: Նշենք, որ Xint Code թիմի կողմից ցուցադրված խոցելիությունները նույնականացվել են Xint Code արհեստական ինտելեկտի վերլուծիչի միջոցով:
NGINX հաքերային հարձակման համար առաջարկվող ամենամեծ՝ 300 դոլար պարգևը մնաց չպահանջված, ինչպես նաև Apache Tomcat, Redis, PostgreSQL և MariaDB չհաստատված հաքերային հարձակումների համար առաջարկվող 100 դոլար պարգևը մնաց չպահանջված։ Docker, Containerd, Envoy, Caddy, NVIDIA Container Toolkit, Kubernetes API Server, Kubelet Server, Prometheus, Fluent Bit, Apache Airflow, Jenkins և GitLab CE հաքերային հարձակումների համար որևէ պահանջ չի ստացվել։
Խոցելիությունների բնույթի մասին մանրամասները դեռևս հասանելի չեն: Մրցույթի պայմաններին համապատասխան, բոլոր հայտնաբերված խոցելիությունների վերաբերյալ մանրամասն տեղեկատվություն է տրամադրվել տուժած նախագծերի մշակողներին և կհրապարակվի մատակարարների կողմից թարմացումներ թողարկելուց հետո:
Source: opennet.ru
