Açık kaynaklı bulut ve AI Tools’a odaklanan Zeroday Cloud adlı yeni bir hack yarışması, çeşitli hedefler için istismar gönderen araştırmacılar için 4,5 milyon dolarlık böcek ödüllerinin toplam ödül havuzunu duyurdu.
Yarışma, Cloud Güvenlik Şirketi Wiz’in araştırma kolu tarafından Google Cloud, AWS ve Microsoft ile ortaklaşa başlatıldı ve 10 ve 11 Aralık’ta İngiltere’deki Londra’daki Black Hat Avrupa Konferansı’nda planlanıyor.
Zeroday Cloud, araştırmacıların katılabileceği altı ayrı kategoriye sahiptir, bu da 10.000 ila 300.000 dolar arasında böcek ödülleri:
- AI – Ollama (25 bin dolar), VLLM (25 bin $), Nvidia konteyner araç seti (40 bin $)
- Kubernetes ve Bulut Yerli -Kubernetes API Sunucusu (80 bin $), Kubelet Server (40 bin $), Grafana (10 bin $ Auth RCE, 40 bin $ Pre-auth RCE), Prometheus (40 bin $), akıcı bit (10 bin $)
- Kaplar ve sanallaştırma -Docker (40 $ kullanıcı tarafından sağlanan resim, 60 bin dolarlık keyfi resim), Container (40 $ kullanıcı tarafından sağlanan resim, 60 bin dolarlık keyfi resim), Linux çekirdeği (Ubuntu’da 30 bin $ konteyner kaçışı)
- Web sunucuları – Nginx (300 bin $), Apache Tomcat (100 bin $), elçi (50 bin $), Caddy (50 bin $)
- Veritabanları -Redis (25 bin $ Auth RCE, 100 bin $ Pre-auth RCE), PostgreSQL (20 bin $ auth rce, 100 bin $ pre-auth rce), MariaDB (20 bin $ auth rce, 100 bin $ Pre-auth RCE)
- DevOps & Otomasyon – Apache Airflow (40 bin dolar), Jenkins (40 bin dolar), Gitlab CE (40 bin dolar)
Yarışmanın kuralları, gönderilen istismarların hedefin tamamen uzlaşmasına neden olması gerektiğini söylüyor. Wiz, bunun “sanallaştırma kategorisi için tam bir kap/VM kaçış ve diğer hedefler için 0 tıklayın Uzaktan Kod Yürütme (RCE) güvenlik açığı” anlamına geldiğini açıklıyor.
Organizatörler ayrıca her bir hedefin koşullarının yanı sıra talimatlar ve teknik kaynaklar (varsayılan yapılandırmada hedefli Docker kapsayıcısı) güvenlik araştırmacılarının istismarlarını test etmek için kullanabilecekleri.
Hackerone platformu aracılığıyla kaydolan ve kimlik doğrulama ve vergi formlarını 20 Kasım’a kadar tamamlayan araştırmacılar, istedikleri kadar hedef için istismar göndermekte özgürdürler, ancak hedef başına yalnızca bir girişle sınırlıdırlar.
Onaylı istismarların göndericileri, etkinlik sırasında tek başına veya en fazla beş üyeden oluşan bir ekipte canlı olarak gösterilmeye davet edilecektir.
Rusya, Çin, İran, Kuzey Kore, Küba, Sudan, Suriye, Libya, Lübnan gibi ambargo veya yaptırımlı ülkelerde ikamet eden insanlar ve ayrıca Kırım ve Donetsk bölgeleri Zeroday Bulut Yarışmasına katılmaları kısıtlanmıştır.
Zeroday.Cloud Hacking yarışması için tam kurallar burada mevcuttur.
Ancak etkinliğin duyurusu, birkaç yıldır büyük bir başarı ile devam eden PWN2OWN hack yarışmalarının organizatörleri ile iyi yankılanmadı.
Toplu bir yazıda, Trend Micro Wiz’i PWN2OWN İrlanda kurallarını kopyalamak için çağırdı. Trend Micro’daki Siber Güvenlik Stratejisi ve Teknolojisi Direktörü Juan Pablo Castro, Gemini’nin iki etkinliğin kurallarını karşılaştırırken çıktısının “kelime için kelime” kopyası olduğunu söyledi.
Wiz, PWN2OWN kural kitabının “ilham aldığımız güvenilir, olgun bir çerçeve” olduğunu itiraf ederek bir eksik ifadeyle cevap verdi.
Katılmak İhlal ve Saldırı Simülasyon Zirvesi ve deneyimle Güvenlik doğrulamasının geleceği. Üst düzey uzmanlardan dinleyin ve nasıl olduğunu görün AI ile çalışan BAS ihlal ve saldırı simülasyonunu dönüştürüyor.
Güvenlik stratejinizin geleceğini şekillendirecek etkinliği kaçırmayın