10-11 декабря в Лондоне на конференции Black Hat Europe будут впервые проведены соревнования ZeroDay Cloud, нацеленные на выявление уязвимостей в открытом ПО, применяемом в облачных окружениях. Призовой фонд соревнований определён в 4.5 млн долларов. Наибольшая премия, размером 300 тысяч долларов, назначена за взлом nginx. Премии, размером 100 тысяч долларов, назначены за взлом Apache Tomcat, Redis, PostgreSQL и MariaDB. Для получения премий участники должны продемонстрировать рабочие эксплоиты, в которых используются ранее неизвестные уязвимости (0-day). В категории "виртуализация" эксплоиты должны позволять выйти за пределы изолированного контейнера или виртуальной машины, а в остальных категориях привести к удалённому выполнению своего кода. Настройки взламываемых приложений размещены на GitHub. Предложены следующие категории, приложения для атаки и вознаграждения:
Источник: https://www.opennet.ru/opennews/art.shtml?num=64003
- Контейнеры и виртуализация: Docker ($40 000 для подготовленного атакующим образа контейнера и $60 000 при атаке с использованием любого образа), Containerd ($40 000/$60 000), пакет с ядром Linux из Ubuntu ($30 000).
- nginx ($300 000), Apache Tomcat ($100 000), Envoy ($50 000), Caddy ($50 000).
- Redis ($25 000 для RCE при аутентифицированном доступе, $100 000 - при неаутентифицированном), PostgreSQL ($20 000/$100 000), MariaDB ($20 000/$100 000).
- Ollama ($25 000), vLLM ($25 000), NVIDIA Container Toolkit ($40 000 за выход из контейнера).
- Kubernetes API Server ($40 000), Kubelet Server ($80 000), Grafana ($10 000 за RCE для аутентифицированного входа и $40 000 для RCE без аутентификации), Prometheus ($40 000), Fluent Bit ($10 000).
- Apache Airflow ($40 000), Jenkins ($40 000), GitLab CE ($40 000).
Источник: https://www.opennet.ru/opennews/art.shtml?num=64003