Objavljeni so bili rezultati tekmovanja ZeroDay Cloud, ki je potekalo na konferenci Black Hat Europe in je bilo namenjeno odkrivanju ranljivosti v odprtokodni programski opremi, ki se uporablja v oblačnih okoljih. Med dogodkom je bilo predstavljenih 11 prej neznanih ranljivosti v Redisu, PostgreSQLu, MariaDB in jedru. Linux in Grafana. Skupni dodeljeni nagradni sklad je znašal 320 dolarjev od skupnega razglašenega nagradnega sklada v višini 4.5 milijona dolarjev.
V skladu s pravili tekmovanja so morali udeleženci prikazati delujoče ranljivosti, ki izkoriščajo prej neznane ranljivosti ničtega dne. V kategoriji "Virtualizacija" so morale ranljivosti omogočati pobeg iz izoliranega vsebnika ali virtualnega stroja, v drugih kategorijah pa so morale voditi do oddaljenega izvajanja kode. Konfiguracije vdornih aplikacij so bile objavljene na GitHubu.
Dokazani napadi:
- Pet napadov na bazo podatkov Redis, ki so povzročili oddaljeno izvajanje kode med overjenim dostopom (pet nagrad v višini 30.000 USD).
- Trije napadi na sistem za upravljanje podatkovnih baz PostgreSQL, ki so povzročili oddaljeno izvajanje kode med overjenim dostopom (tri nagrade v višini 30.000 USD).
- Napad na MariaDB, ki je povzročil oddaljeno izvajanje kode prek overjenega dostopa (tri nagrade v višini 30.000 USD).
- Oddaljeno izvajanje kode na platformi za vizualizacijo podatkov Grafana z overjenim dostopom do vmesnika (10.000 USD).
- Napad na jedro Linux, kar je omogočilo, da je izolirano posodo pustilo v Ubuntu (30.000 dolarjev).
- Dva poskusa napada na vLLM in Ollamo sta bila neuspešna, saj udeležencem napada ni uspelo zaključiti v določenem času.
Ekipa Xint Code je bila razglašena za zmagovalca, potem ko je uspešno napadla Redis, PostgreSQL in MariaDB ter zaslužila 90 dolarjev. Omeniti velja, da so bile ranljivosti, ki jih je pokazala ekipa Xint Code, odkrite z analizatorjem umetne inteligence Xint Code.
Največja nagrada v višini 300 dolarjev, ponujena za vdor v NGINX, je ostala neprevzeta, prav tako ne, prav tako ne, in ne, za nagrade v višini 100 dolarjev, ponujene za neavtentificirane vdore v Apache Tomcat, Redis, PostgreSQL in MariaDB. Za vdore v Docker, Container, Envoy, Caddy, NVIDIA Container Toolkit, Kubernetes API Server, Kubelet Server, Prometheus, Fluent Bit, Apache Airflow, Jenkins in GitLab CE ni bilo prejetih nobenih zahtevkov.
Podrobnosti o naravi ranljivosti še niso na voljo. V skladu s pogoji natečaja so bile razvijalcem prizadetih projektov posredovane podrobne informacije o vseh ugotovljenih ranljivostih, ki bodo objavljene po izdaji popravkov s strani prodajalcev.
Vir: opennet.ru
