ロンドンで開催されたZeroday Cloudハッキングコンペティションでは、クラウドインフラで使用されるコンポーネントにおける重大なリモートコード実行(RCE)脆弱性を実証した研究者に対し、32万ドルが授与されました。
クラウドシステムに焦点を当てた初のハッキングイベントである本コンペティションは、Wiz ResearchがAmazon Web Services、Microsoft、Google Cloudと提携して主催しています。
研究者は13回のハッキングセッションにわたる試行のうち85%で成功し、11件のゼロデイ脆弱性を実証しました。
イベントをまとめたブログ投稿によると、初日にはRedis、PostgreSQL、Grafana、Linuxカーネルにおける問題の悪用に成功したことで、20万ドルが授与されました。
2日目には研究者がさらに12万ドルを獲得し、Redis、PostgreSQL、MariaDBでのエクスプロイトを示しました。これらは、クラウドシステムが重要情報(例:認証情報、シークレット、機微なユーザー情報)を保存するために使用する、最も一般的なデータベースです。
出典:Wiz
Linuxカーネルはコンテナエスケープの欠陥を通じて侵害され、攻撃者がクラウドテナント間の分離を破ることを可能にし、クラウドの中核的なセキュリティ保証を損なうものでした。
サイバーセキュリティ企業ZellicおよびDEVCOREの研究者には、その成功に対して4万ドルが授与されました。
出典:Wiz
人工知能もトピックとなり、プライベートなAIモデル、データセット、プロンプトが露出する可能性があったvLLMおよびOllamaモデルを標的としたハッキングの試みが行われましたが、いずれも時間切れにより失敗しました。
初のZeroday Cloudコンペティションの締めくくりでは、Redis、MariaDB、PostgreSQLの悪用に成功したTeam Xint Codeがチャンピオンに輝きました。3件のエクスプロイトに対して、Team Xint Codeは9万ドルを受け取りました。
出典:Wiz
前向きな結果ではあるものの、授与額は、さまざまな標的に対するエクスプロイトを披露する研究者に提供される総賞金450万ドル のごく一部にすぎません。
コンペティションでエクスプロイトが見られなかった対象の適格カテゴリおよび製品には、AI(Ollama、vLLM、Nvidia Container Toolkit)、Kubernetes、Docker、Webサーバー(ngnix、Apache Tomcat、Envoy、Caddy)、Apache Airflow、Jenkins、GitLab CEが含まれます。
