Güvenlik araştırmacıları, PWN2own Berlin 2025’in ikinci günü boyunca büyük kurumsal platformlarda kritik sıfır günlük güvenlik açıklarını ortaya çıkardı ve 435.000 dolar kazandı.
The OustensiveCon Konferansı’nda düzenlenen yarışma, VMware ESXI, Microsoft SharePoint, Mozilla Firefox ve Red Hat Enterprise Linux’a karşı başarılı istismarlara tanık oldu ve yaygın olarak kullanılan kurumsal yazılımlarda önemli güvenlik boşlukları gösterdi.
Tarihi bir başarıda, Starlabs SG’den Nguyen Hoang Thach, Pwn2own tarihinde ilk başarılı VMware ESXI istismarını gerçekleştirdi. Tek bir tamsayı taşma güvenlik açığı kullanan Thach, sanallaştırma platformunu tehlikeye attı, 150.000 dolar ve 15 Master PWN puanı kazandı.
.png
)
ESXI’daki bu yüksek etkili güvenlik açığı, hipervizör dünya çapında kurumsal veri merkezlerinde yaygın olarak konuşlandırıldığı için özellikle söz konusudur.
Viettel siber güvenliğinden Dinh Ho Anh Khoa, yetkisiz erişim elde etmek için güvensiz bir sazizleme hatası ile bir kimlik doğrulama baypasını zincirlediğinde Microsoft SharePoint de eşit derecede savunmasız olduğunu kanıtladı. İstismar ona 100.000 dolar ve 10 Master PWN puan kazandı.
Microsoft 365 ortamlarıyla entegre bir işbirliği platformu olarak, bu SharePoint güvenlik açığı, organizasyonel veri güvenliği için önemli bir riski temsil eder.
Palo Alto Networks araştırmacıları Edouard Bochin ve Tao Yan, Mozilla Firefox’ta 50.000 dolar ve 5 Master PWN puanı kazanan Palo Alto Networks araştırmacıları ve Tao Yan, sınırsız bir yazma kırılganlığı göstermesiyle tarayıcı güvenliği de tehlikeye girdi. Tarayıcıdan istismar, yıllarca süren güvenlik sertleşmesine rağmen istemci tarafındaki yazılımlarda devam eden riskleri vurgular.
Red Hat Enterprise Linux, ayrıcalıkları artırmak için 10.000 dolar güvence altına almak ve PWN sıralamasında usta yıldız laboratuvarlarının komuta liderliğini daha da pekiştirmek için ücretsiz bir hata kullanan Starlabs SG’den Gerrard Tai’ye düştü.
Yeni tanıtılan AI kategorisi başarılı istismarları çekmeye devam etti. Wiz Research’ten Benny Isaacs, Nir Brakha ve Sagi Tzadik, 40.000 $ ve 4 Master PWN puanı kazanarak Redis’i kullanmadan yararsız bir güvenlik açığı kullanarak kullandı.
Qrious Secure’den Ho Xuan Ninh ve Tri Dang, 30.000 $ ve 3 puan alan Nvidia’nın Triton çıkarım sunucusunu tehlikeye atmak için dört farklı hatayı zincirledi.
Yarışmayı yürüten sıfır günlük girişimin “Bu ikinci günü tamamlıyor! 435.000 dolar ödül aldık, bu da yarışmayı toplam 695.000 dolara getiriyor” dedi. “Üçüncü bir gün hala gelecek, 1.000.000 $ eşiğine ulaşma şansımız çok var.”
Yarışma, iki gün boyunca 20 benzersiz sıfır günlük güvenlik açığı ortaya koydu ve Star Labs, PWN sıralamasında ustalaşmayacak bir liderlik yaptı.
Oracle VirtualBox, Viettel Cyber Güvenlik, 40.000 dolar kazanan sınır dışı bir yazma güvenlik açığı kullanarak konuk-ev sahibi bir kaçış gösterdiğinde başarıyla kullanıldı.
Yarışmanın üçüncü günü, 17 Mayıs Cumartesi günü devam edecek ve Windows 11, Oracle Virtualbox, VMware Products, Mozilla Firefox ve Nvidia sistemlerini hedefleyen planlanmış denemelerle devam edecek.
Yarışma sırasında gösterilen tüm güvenlik açıkları, teknik ayrıntıları yayınlamadan önce güvenlik düzeltmeleri yayınlamak için 90 günü olan satıcılara sorumlu bir şekilde açıklanmaktadır.
PWN2OWN’ın bu açılış Berlin Sürümü, gelişmekte olan teknolojilerde güvenlik konusundaki artan endişeleri yansıtan bir AI kategorisi de dahil olmak üzere rekabetin ilk kez yer alıyor.
Güvenlik Açığı Saldırısı Simülasyonu Hackerlar Giriş Noktaları İçin Web Sitelerini Nasıl Hızlı Araştırdılar – Ücretsiz Web Semineri