クラウドセキュリティ大手のWizは、広く利用されているクラウドソフトウェアに対するエクスプロイトを実証することで、参加者が多額の報酬を得られる新たなハッキングコンテストを発表しました。
このコンテストはZeroday.Cloudと名付けられており、参加者には総額450万ドルのバグ報奨金が提供されます。興味のあるセキュリティ研究者は12月1日までにエントリーを提出する必要があり、12月10日~11日にロンドンで開催されるBlack Hat Europeカンファレンスで、ステージ上でエクスプロイトを実演します。
WizはZeroday.CloudのためにAWS、Google Cloud、Microsoftと提携しています。なお、GoogleはWizを320億ドルで買収する計画を発表しています。
Zeroday.Cloudハッキングコンテストは6つのカテゴリーをカバーしています。その1つがAIで、Ollama、vLLM、Nvidia Container Toolkitなどの製品をハッキングした場合、最大で25,000ドルから40,000ドルの賞金が提供されます。
Kubernetesおよびクラウドネイティブのカテゴリーでは、Kubernetes API Server、Kubelet Server、Grafana、Prometheus、Fluent Bitを標的としたエクスプロイトに対し、賞金は10,000ドルから80,000ドルの範囲で提供されます。最も高額な報酬はKubernetes API Serverのエクスプロイトに対して支払われます。
コンテナおよび仮想化カテゴリーでは、Docker、Containerd、Linux Kernelが対象で、賞金は30,000ドルから60,000ドルの範囲です。
ウェブサーバーカテゴリーでは、Nginxのエクスプロイトで最大300,000ドル、Tomcatのエクスプロイトで100,000ドル、CaddyおよびEnvoyの脆弱性で最大50,000ドルが得られます。
データベースのハッキングでも高額な報酬が得られます。Redis、PostgreSQL、MariaDBを標的とした認証不要のリモートコード実行エクスプロイトには、最大100,000ドルが提供されます。
Apache Airflow、Jenkins、GitLab CEなどのDevOpsおよび自動化ソフトウェアの脆弱性でも、Zeroday.Cloudの参加者は最大40,000ドルを獲得できます。
「提出されたエクスプロイトは、ターゲットの完全な侵害につながる必要があります。つまり、仮想化カテゴリーでは完全なコンテナ/VMエスケープ、その他のターゲットでは0クリックのリモートコード実行(RCE)脆弱性である必要があります」と、Wizの脆弱性リサーチ責任者であるNir Ohfeld氏は説明しています。
多額の賞金と支援企業の規模を考えると、このクラウドハッキングコンテストは高い成功の可能性があります。しかし、一部では論争も起きているようです。
Trend Microは、同社のZero Day Initiative(ZDI)が約20年にわたりPwn2Ownハッキングコンテストを主催してきましたが、Wizがそのルールの一部を一言一句コピーしたと非難しています。
翻訳元: https://www.securityweek.com/4-5-million-offered-in-new-cloud-hacking-competition/
