クラウドセキュリティ大手のWizが今週ロンドンで開催したライブハッキングコンテスト「Zeroday.Cloud」で、研究者たちは合計32万ドルを獲得しました。
WizはAWS、Google Cloud、Microsoftと提携し、コアとなるクラウドおよびAI技術の脆弱性を対象に、総額450万ドルの賞金プールを用意したZeroday.Cloudを開催しました。
参加者は、AI、Kubernetesとクラウドネイティブ、コンテナと仮想化、Webサーバー、DevOpsと自動化、データベースという6つのカテゴリにわたってエクスプロイトを実演するよう招待されました。報奨金は1万ドルから30万ドルの範囲で提供されました。
イベントに参加したホワイトハットハッカーたちは、さまざまなオープンソース技術を標的とした11件のエクスプロイトに対して、合計32万ドルを獲得しました。
Zeroday.Cloudの初日には、研究者たちに合計20万ドルが授与されました。単体として最大の支払いは、Linuxカーネルのエクスプロイトに対する4万ドルでした。
研究者たちは、5件のデータベースシステムのエクスプロイトに対して、それぞれ3万ドルを獲得しました。対象はRedisが3件、PostgreSQLが2件でした。
Grafanaオブザーバビリティプラットフォームを標的とした、認証済みリモートコード実行エクスプロイトには、1チームに1万ドルが支払われました。
2日目には、参加者は合計12万ドルを獲得しました。3つの異なるターゲット、PostgreSQL、MariaDB、Redisがそれぞれ3万ドルで攻略されました。Redisは2回目のエクスプロイトにも成功し、その日の合計報奨金は6万ドルとなりました。
研究者たちはまた、vLLMおよびOllamaといったLLMツールに対するエクスプロイトの実演も試みましたが、制限時間内に成功することはできませんでした。
翻訳元: https://www.securityweek.com/320000-paid-out-at-zeroday-cloud-for-open-source-software-exploits/
