Ο διαγωνισμός hacking Zeroday Cloud στο Λονδίνο απένειμε στους ερευνητές 320.000 δολάρια για την επίδειξη κρίσιμων σημείων ευπάθειας απομακρυσμένης εκτέλεσης κώδικα σε στοιχεία που χρησιμοποιούνται στην υποδομή cloud.
Η πρώτη εκδήλωση hacking επικεντρώθηκε σε συστήματα cloud, ο διαγωνισμός φιλοξενείται από τη Wiz Research σε συνεργασία με τις υπηρεσίες Web Amazon, τη Microsoft και το Google Cloud.
Οι ερευνητές ήταν επιτυχείς στο 85% των προσπαθειών hacking σε 13 συνεδρίες hacking, επιδεικνύοντας 11 τρωτά σημεία μηδενικής ημέρας.
ΕΝΑ ανάρτηση ιστολογίου συνοψίζοντας τις σημειώσεις της εκδήλωσης 200.000 $ απονεμήθηκαν κατά τη διάρκεια της πρώτης ημέρας για επιτυχή εκμετάλλευση ζητημάτων στο Redis, PostgreSQL, Grafana και στον πυρήνα Linux.
Κατά τη δεύτερη ημέρα, οι ερευνητές κέρδισαν άλλα 120.000 $, δείχνοντας εκμεταλλεύσεις σε Redis, PostgreSQL και MariaDB, τις πιο δημοφιλείς βάσεις δεδομένων που χρησιμοποιούνται από συστήματα cloud για την αποθήκευση κρίσιμων πληροφοριών (π.χ. διαπιστευτήρια, μυστικά, ευαίσθητες πληροφορίες χρήστη).
Πηγή: Wiz
Ο πυρήνας του Linux παραβιάστηκε μέσω ενός ελαττώματος διαφυγής κοντέινερ, το οποίο επέτρεψε στους εισβολείς να σπάσουν την απομόνωση μεταξύ των ενοικιαστών του cloud, υπονομεύοντας μια βασική εγγύηση ασφάλειας στο cloud.
Ερευνητές στις εταιρείες κυβερνοασφάλειας Zellic και DEVCORE βραβεύτηκαν με $40.000 για την επιτυχία τους.
Πηγή: Wiz
Η Τεχνητή Νοημοσύνη ήταν επίσης ένα θέμα, με απόπειρες hacking που στοχεύουν τα μοντέλα vLLM και Ollama, τα οποία θα μπορούσαν να έχουν εκθέσει ιδιωτικά μοντέλα AI, σύνολα δεδομένων και προτροπές, αλλά και οι δύο προσπάθειες απέτυχαν λόγω εξάντλησης χρόνου.
Το τέλος του πρώτου διαγωνισμού Zeroday Cloud βρήκε το Team Xint Code στέφθηκε πρωταθλητής για την επιτυχή εκμετάλλευση των Redis, MariaDB και PostgreSQL. Για τα τρία κατορθώματα του, το Team Xint Code έλαβε 90.000 $.
Πηγή: Wiz
Παρά το θετικό αποτέλεσμα, το ποσό που απονεμήθηκε είναι μόνο ένα μικρό κλάσμα του συνολικού έπαθλου των 4,5 εκατομμυρίων δολαρίων που είναι διαθέσιμο για ερευνητές που παρουσιάζουν εκμεταλλεύσεις για διάφορους στόχους.
Οι επιλέξιμες κατηγορίες και προϊόντα που δεν είδαν κανένα exploit στον διαγωνισμό περιλαμβάνουν AI (Ollama, vLLM, Nvidia Container Toolkit), Kubernetes, Docker, διακομιστές ιστού (ngnix, Apache Tomcat, Envoy, Caddy), Apache Airflow, Jenkins και GitLab CE.
Το σπασμένο IAM δεν είναι απλώς ένα πρόβλημα πληροφορικής – ο αντίκτυπος κυματίζεται σε ολόκληρη την επιχείρησή σας.
Αυτός ο πρακτικός οδηγός καλύπτει γιατί οι παραδοσιακές πρακτικές IAM αποτυγχάνουν να συμβαδίζουν με τις σύγχρονες απαιτήσεις, παραδείγματα για το πώς φαίνεται το “καλό” IAM και μια απλή λίστα ελέγχου για τη δημιουργία μιας επεκτάσιμης στρατηγικής.
VIA: bleepingcomputer.com
