聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
首届Zeroday Cloud黑客大赛在英国伦敦落下帷幕,研究员从云基础设施中使用的组件中发现了多个严重的远程代码执行漏洞,总计获得32万美元的赏金。
本届大赛主要关注云系统,由 Wiz Research 联合亚马逊 Web Services、微软和谷歌云联合举办。研究人员在13个入侵场次中获得85%的成功率,发现了11个0day漏洞。
比赛第一天,主办方为成功利用Redis、PostgreSQL、Grafana和 Linux 内核中漏洞的研究人员发放了20万美元的赏金。第二天,研究人员从云系统用于存储关键信息(如凭据、机密信息、用户敏感信息)的使用最广泛数据库 Redis、PostgreSQL 和 MariaDB中发现了漏洞,获得12万美元赏金。
研究人员成功通过一个容器逃逸漏洞攻陷Linux 内核系统,该漏洞可导致攻击者攻破云租户之间的隔离,损坏核心的云安全措施。网络安全公司 Zellic 和 DEVCORE的研究人员成功获得4万美元赏金。
人工智能也是大赛主题之一。研究人员尝试攻击 vLLM和Ollama 模型,本可导致私有AI模型、数据集和提示遭泄露,不过因超时问题这两次利用尝试均以失败告终。
第一天比赛以 Xint Code 团队成功利用 Redis、MariaDB 和 PostgreSQL漏洞并获9万美元赏金而摘得桂冠的战绩结束。
尽管本届大赛成果颇丰,但研究员所获赏金仅占总奖金池(450万美元)的一小部分。研究人员未能从大赛的其它有效类别和产品中发现漏洞,包括 AI (Ollama、vLLM、英伟达Container Toolkit)、Kubernetes、Docker、web 服务器(ngnix、Apache Tomcat、Envoy、Caddy)、Apache Airflow、Jenkins 和 GitLab CE。
开源卫士试用地址:https://oss.qianxin.com/#/login
代码卫士试用地址:https://sast.qianxin.com/#/login
推荐阅读
Zeroday Cloud 黑客大赛专注开源云和AI工具,赏金池450万美元
微软推出 Zero Day Quest 黑客活动,奖金池达400万美元
群晖修复 Pwn2Own大赛中利用的BeeStation 0day 漏洞
QNAP修复Pwn2Own大赛上发现的7个 NAS 0day 漏洞
Pwn2Own 2026 东京汽车大赛目标和奖金公布
原文链接
https://www.bleepingcomputer.com/news/security/zeroday-cloud-hacking-event-awards-320-0000-for-11-zero-days/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
