Güvenlik araştırmacıları, PWN2OWN Berlin 2025’in ikinci gününde, büyük işletme platformlarında kritik güvenlik açıklarını keşfettiklerini ve 435.000 dolar kazandıklarını gösterdiler.
Şimdi Berlin’deki Oustenciecon Konferansı’ndaki ikinci gününde yarışma, katılımcıların şu ana kadar 20 benzersiz sıfır günü güvenlik açıkını ortaya çıkarmasıyla toplam 695.000 dolar kazandı.
Üçüncü bir rekabet gününde, organizatörler toplam ödül parasının 1 milyon dolarlık eşiği aşabileceğine inanıyorlar.
.png
)
Büyük Kurumsal Sistemler yetenekli bilgisayar korsanlarına düşer
Yarışmanın ikinci günü, birkaç yüksek profilli kurumsal platformun başarıyla tehlikeye atıldığını gördü.
Tarihi bir başarıyı işaret eden Viettel Siber Güvenlik’ten Dinh Ho Anh Khoa, bir kimlik doğrulama baypasını Microsoft SharePoint’ten yararlanmak için güvensiz bir sazelleştirme hatasıyla birleştirerek 100.000 dolar ve 10 Master PWN puanı kazandı.
Kurumsal ortamlarda yaygın olarak dağıtılan bir işbirliği platformu olarak, bu SharePoint güvenlik açığı dünya çapında kuruluşlar için önemli bir güvenlik riskini temsil etmektedir.
Yarışma ayrıca diğer kritik kurumsal yazılımlara karşı başarılı istismarlara da tanık oldu.
Yarışma sonuçlarına göre, Star Labs, PWN sıralaması ustasında aşılması muhtemel görünmüyor.
İlk gün, Star Labs ekibinin, Linux çekirdeği güvenlik açığı içeren bir istismar zinciri için Docker masaüstünden kaçmalarını ve temel işletim sisteminde kod yürütmelerine izin veren bir istismar zinciri için en yüksek 60.000 $ ödülü kazandığını görmüştü.
AI Güvenlik Kategorisi Önemli Dikkat Çekiyor
PWN2OWN Berlin 2025’te yeni tanıtılan AI kategorisi güvenlik araştırmacılarından başarılı istismarları çekmeye devam ediyor.
Bu açılış Berlin Edition, rekabetin ilk kez özel AI güvenlik hedeflerini içerdiğini ve ortaya çıkan AI teknolojilerindeki güvenlik açıklarıyla ilgili artan endişeleri yansıtan işaret ediyor.
İlk gün, çağırma ekibinin Sina Kheirkhah, AI kategorisinde ilk kazanan olarak tarih yazdı ve Chroma açık kaynaklı AI uygulama veritabanını hedefleyen bir istismar için 20.000 dolar kazandı.
Aynı araştırmacı, bir Nvidia Triton çıkarım sunucusunu başarılı bir şekilde hacklemek için 15.000 dolar daha kazandı, ancak satıcı hatayı önceden bilgilendirdi, ancak henüz yamamıştı.
AI kategorisi, basit istemi enjeksiyonların ötesine geçmek için özel olarak tasarlanmıştır ve katılımcıların AI çerçevelerinde tam kod yürütülmesini gerektirir.
Etkinliği sıfır gün girişimi yoluyla düzenleyen Trend Micro, “Bu, AI altyapısına odaklanan ilk ödül kategorimiz olduğu için, yeni ve muhtemelen önemli güvenlik açıklarının yüzeyini bekliyoruz” dedi.
“Mesele bu. Amacımız, araştırmacılara, kötü aktörlerin avantaj elde etmeden önce bulgularını satıcılarla koordine etmek için mali olarak telafi etmek.”
Rekabet işbirlikçi güvenlik yaklaşımını vurgular
İkinci gün ayrıca, araştırmacıların satıcılar tarafından zaten bilinen ancak açılmamış kaldığı güvenlik açıkları gösterdikleri birden fazla “çarpışma” istismarı gördü.
Örneğin, FuzzingLabs’tan Mohand Acherir ve Patrick Venuzelo, Nvidia’nın kırılganlığı zaten bilmesine rağmen 15.000 dolar kazandı.
Yarışma, siber güvenlikte sorumlu açıklamanın öneminin altını çizmektedir.
Yarışma sırasında gösterilen tüm güvenlik açıkları, teknik ayrıntıları yayınlamadan önce güvenlik düzeltmelerini yayınlamak için genellikle 90 günü olan satıcılara açıklanmaktadır.
Güvenlik araştırmacıları ve yazılım geliştiricileri arasındaki bu işbirlikçi yaklaşım, genel güvenlik ortamının güçlendirilmesine yardımcı olur.
Trend Micro, “Pwn2own sadece bir şeyleri kırmakla ilgili değil, daha iyi bir siber güvenlik manzarası oluşturmakla ilgili” dedi.
“Araştırmacıları ve satıcıları koordineli, halka açık bir forumda bir araya getirerek, güvenlik açığı keşfinden yamaya kadar yolu hızlandırarak hızlı koruma sağlıyoruz”.
Yarışmanın üçüncü ve son günü, 17 Mayıs’ta devam ediyor ve araştırmacılar Windows 11, Oracle Virtualbox, VMware Products, Mozilla Firefox ve Nvidia sistemleri de dahil olmak üzere geri kalan sistemleri hedefliyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!