聚焦源代码安全,网罗国内外最新资讯!
本届大赛主要关注云系统,由 Wiz Research 联合亚马逊 Web Services、微软和谷歌云联合举办。研究人员在13个入侵场次中获得85%的成功率,发现了11个0day漏洞。
比赛第一天,主办方为成功利用Redis、PostgreSQL、Grafana和 Linux 内核中漏洞的研究人员发放了20万美元的赏金。第二天,研究人员从云系统用于存储关键信息(如凭据、机密信息、用户敏感信息)的使用最广泛数据库 Redis、PostgreSQL 和 MariaDB中发现了漏洞,获得12万美元赏金。
研究人员成功通过一个容器逃逸漏洞攻陷Linux 内核系统,该漏洞可导致攻击者攻破云租户之间的隔离,损坏核心的云安全措施。网络安全公司 Zellic 和 DEVCORE的研究人员成功获得4万美元赏金。
人工智能也是大赛主题之一。研究人员尝试攻击 vLLM和Ollama 模型,本可导致私有AI模型、数据集和提示遭泄露,不过因超时问题这两次利用尝试均以失败告终。
第一天比赛以 Xint Code 团队成功利用 Redis、MariaDB 和 PostgreSQL漏洞并获9万美元赏金而摘得桂冠的战绩结束。
尽管本届大赛成果颇丰,但研究员所获赏金仅占总奖金池(450万美元)的一小部分。研究人员未能从大赛的其它有效类别和产品中发现漏洞,包括 AI (Ollama、vLLM、英伟达Container Toolkit)、Kubernetes、Docker、web 服务器(ngnix、Apache Tomcat、Envoy、Caddy)、Apache Airflow、Jenkins 和 GitLab CE。
Zeroday Cloud 黑客大赛专注开源云和AI工具,赏金池450万美元
微软推出 Zero Day Quest 黑客活动,奖金池达400万美元
群晖修复 Pwn2Own大赛中利用的BeeStation 0day 漏洞
https://www.bleepingcomputer.com/news/security/zeroday-cloud-hacking-event-awards-320-0000-for-11-zero-days/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~