Поведены итоги соревнований ZeroDay Cloud, проведённых на конференции Black Hat Europe и нацеленных на выявление уязвимостей в открытом ПО, применяемом в облачных окружениях. В ходе мероприятия было продемонстрировано 11 ранее неизвестных уязвимостей в Redis, PostgreSQL, MariaDB, ядре Linux и Grafana. Размер выплаченных вознаграждений составил 320 тысяч долларов при общем заявленном призовом фонде в 4.5 млн долларов. По правилам соревнований участники должны были продемонстрировать рабочие эксплоиты, в которых используются ранее неизвестные уязвимости (0-day). В категории "виртуализация" эксплоиты должны позволять выйти за пределы изолированного контейнера или виртуальной машины, а в остальных категориях привести к удалённому выполнению своего кода. Настройки взламываемых приложений были размещены на GitHub. Продемонстрированные атаки:
Источник: https://www.opennet.ru/opennews/art.shtml?num=64444
- Пять атак на СУБД Redis, которые привели к удалённому выполнению кода при аутентифицированном доступе (пять премий в $30 000). Три атаки на СУБД PostgreSQL, которые привели к удалённому выполнению кода при аутентифицированном доступе (три премии $30 000). Атака на СУБД MariaDB, которая привела к удалённому выполнению кода при аутентифицированном доступе (три премии $30 000). Удалённое выполнение кода в платформе визуализации данных Grafana при аутентифицированном доступе к интерфейсу ($10 000). Атака на ядро Linux, позволившая выйти из изолированного контейнера в Ubuntu ($40 000). Две попытки атаки на vLLM и Ollama оказались неуспешными, так как участникам не удалось уложиться в отведённое время.
Источник: https://www.opennet.ru/opennews/art.shtml?num=64444