Zeroday Cloud hakersko takmičenje održano u Londonu dodijelilo je istraživačima ukupno 320.000 dolara za demonstraciju kritičnih ranjivosti koje omogućavaju daljinsko izvršavanje koda u komponentama koje se koriste u cloud infrastrukturi.
Kao prvi hakerski događaj fokusiran isključivo na cloud sisteme, takmičenje je organizovao Wiz Research u partnerstvu sa Amazon Web Services, Microsoftom i Google Cloudom.
Istraživači su bili uspješni u 85% pokušaja hakovanja tokom 13 sesija, demonstrirajući ukupno 11 zero-day ranjivosti.
U blog objavi koja sumira događaj navodi se da je tokom prvog dana dodijeljeno 200.000 dolara za uspješno iskorišćavanje propusta u Redis-u, PostgreSQL-u, Grafani i Linux kernelu.
Tokom drugog dana, istraživači su zaradili dodatnih 120.000 dolara, demonstrirajući eksploatacije u Redis-u, PostgreSQL-u i MariaDB-u, najčešće korišćenim bazama podataka u cloud sistemima za čuvanje kritičnih informacija, kao što su kredencijali, tajne i osjetljivi korisnički podaci.
Linux kernel je kompromitovan putem container escape ranjivosti, koja je omogućila hakerima da probiju izolaciju između cloud klijenata, narušavajući jednu od osnovnih bezbjednosnih garancija cloud okruženja.
Istraživači iz sajber bezbjednosnih kompanija Zellic i DEVCORE nagrađeni su sa po 40.000 dolara za svoj uspjeh.
Tim CCC dobio je najveću pojedinačnu novčanu nagradu tokom takmičenja.
Vještačka inteligencija je takođe bila jedna od tema, sa pokušajima hakovanja usmjerenim na vLLM i Ollama modele, koji su mogli dovesti do izlaganja privatnih AI modela, skupova podataka i promptova, ali su oba pokušaja bila neuspješna zbog isteka vremena.
Na kraju prvog Zeroday Cloud takmičenja, titulu šampiona osvojio je tim Xint Code, koji je uspješno iskoristio ranjivosti u Redis-u, MariaDB-u i PostgreSQL-u. Za tri demonstrirane eksploatacije, tim Xint Code je dobio ukupno 90.000 dolara.
Uprkos pozitivnim rezultatima, dodijeljeni iznos predstavlja samo mali dio ukupnog nagradnog fonda od 4,5 miliona dolara, koji je bio dostupan istraživačima za demonstraciju eksploatacija nad različitim ciljevima.
Kategorije i proizvodi za koje tokom takmičenja nisu zabilježene eksploatacije uključuju AI alate kao što su Ollama, vLLM i Nvidia Container Toolkit, kao i Kubernetes, Docker, web servere poput Nginx-a, Apache Tomcat-a, Envoy-a i Caddy-ja, te Apache Airflow, Jenkins i GitLab CE.
Izvor: BleepingComputer
