Resultaten av ZeroDay Cloud-tävlingen, som hölls på Black Hat Europe-konferensen och syftade till att identifiera sårbarheter i öppen källkodsprogramvara som används i molnmiljöer, har tillkännagivits. Under evenemanget demonstrerades 11 tidigare okända sårbarheter i Redis, PostgreSQL, MariaDB och kärnan. Linux och Grafana. Den totala prispotten som delades ut var 320 000 dollar, av en total tillkännagiven prispott på 4.5 miljoner dollar.
Enligt tävlingsreglerna var deltagarna skyldiga att demonstrera fungerande exploater som utnyttjar tidigare okända nolldagssårbarheter. I kategorin "Virtualisering" var exploaterna tvungna att möjliggöra flykt från en isolerad container eller virtuell maskin, medan de i de andra kategorierna var tvungna att leda till fjärrkörning av kod. Konfigurationerna för de hackade applikationerna publicerades på GitHub.
Demonstrerade attacker:
- Fem attacker mot Redis-databasen som resulterade i fjärrkörning av kod under autentiserad åtkomst (fem belöningar på 30 000 dollar).
- Tre attacker mot PostgreSQL DBMS som resulterade i fjärrkörning av kod under autentiserad åtkomst (tre belöningar på 30 000 dollar).
- MariaDB-attack som resulterar i fjärrkörning av kod via autentiserad åtkomst (tre belöningar värda 30 000 dollar).
- Fjärrkodkörning i Grafanas datavisualiseringsplattform med autentiserad åtkomst till gränssnittet (10 000 USD).
- Attack mot kärnan Linux, vilket gjorde det möjligt att lämna den isolerade behållaren i Ubuntu (40 000 dollar).
- Två försök att attackera vLLM och Ollama misslyckades, eftersom deltagarna misslyckades med att slutföra attacken inom den tilldelade tiden.
Team Xint Code utsågs till vinnare efter att framgångsrikt ha attackerat Redis, PostgreSQL och MariaDB, vilket gav dem 90 000 dollar. Det är värt att notera att de sårbarheter som Team Xint Code demonstrerade identifierades med hjälp av Xint Codes AI-analysator.
Den största belöningen på 300 000 dollar som erbjöds för NGINX-hacket förblev outnyttjad, liksom de 100 000 dollar i belöningar som erbjöds för de oautentiserade hackningarna av Apache Tomcat, Redis, PostgreSQL och MariaDB. Inga anspråk mottogs för hackningarna Docker, Containerd, Envoy, Caddy, NVIDIA Container Toolkit, Kubernetes API Server, Kubelet Server, Prometheus, Fluent Bit, Apache Airflow, Jenkins och GitLab CE.
Detaljer om sårbarheternas natur är ännu inte tillgängliga. I enlighet med tävlingsvillkoren har detaljerad information om alla identifierade sårbarheter tillhandahållits utvecklarna av de berörda projekten och kommer att publiceras efter att leverantörerna släppt patchar.
Källa: opennet.ru
