オープンソースのクラウドおよびAIツールに特化した新しいハッキングコンテスト「Zeroday Cloud」が、さまざまなターゲットに対するエクスプロイトを提出した研究者に対し、総額450万ドルのバグバウンティ賞金を発表しました。
このコンテストは、クラウドセキュリティ企業Wizの研究部門がGoogle Cloud、AWS、Microsoftと提携して開催し、イギリス・ロンドンで開催されるBlack Hat Europeカンファレンスにて、12月10日と11日に実施される予定です。
- AI – Ollama(2.5万ドル)、Vllm(2.5万ドル)、Nvidia Container Toolkit(4万ドル)
- Kubernetesおよびクラウドネイティブ – Kubernetes API Server(8万ドル)、Kubelet Server(4万ドル)、Grafana(認証後RCE 1万ドル、認証前RCE 4万ドル)、Prometheus(4万ドル)、Fluent Bit(1万ドル)
- コンテナおよび仮想化 – Docker(ユーザー提供イメージ4万ドル、任意イメージ6万ドル)、Containerd(ユーザー提供イメージ4万ドル、任意イメージ6万ドル)、Linuxカーネル(Ubuntuでのコンテナエスケープ3万ドル)
- Webサーバー – nginx(30万ドル)、Apache Tomcat(10万ドル)、Envoy(5万ドル)、Caddy(5万ドル)
- データベース – Redis(認証後RCE 2.5万ドル、認証前RCE 10万ドル)、PostgreSQL(認証後RCE 2万ドル、認証前RCE 10万ドル)、MariaDB(認証後RCE 2万ドル、認証前RCE 10万ドル)
- DevOps & オートメーション – Apache Airflow(4万ドル)、Jenkins(4万ドル)、GitLab CE(4万ドル)
コンテストのルールによると、提出されたエクスプロイトはターゲットの完全な侵害をもたらす必要があります。Wizはこれについて、「仮想化カテゴリでは完全なコンテナ/VMエスケープ、その他のターゲットでは0クリックのリモートコード実行(RCE)脆弱性」を意味すると説明しています。
主催者はまた、各ターゲットの条件や、セキュリティ研究者がエクスプロイトをテストするために利用できる手順や技術リソース(デフォルト設定のターゲットを含むDockerコンテナ)も提供しています。
HackerOneプラットフォームを通じて登録し、11月20日までに本人確認と税務書類を完了した研究者は、好きなだけ多くのターゲットにエクスプロイトを提出できますが、1ターゲットにつき1件のみ提出可能です。
承認されたエクスプロイトの提出者は、イベント中に単独または最大5人のチームでライブデモンストレーションに招待されます。
ロシア、中国、イラン、北朝鮮、キューバ、スーダン、シリア、リビア、レバノン、さらにクリミアおよびドネツク地域など、禁輸または制裁対象国に居住する人々は、Zeroday Cloudコンテストへの参加が制限されています。
zeroday.cloudハッキングコンペティションの完全なルールはこちらで確認できます。
しかし、このイベントの発表は、数年間にわたり大成功を収めているPwn2Ownハッキングコンテストの主催者にはあまり好意的に受け取られませんでした。
トレンドマイクロは公開投稿で、Wizを名指しし、Pwn2Own Irelandのルールをコピーしたと指摘しました。トレンドマイクロのサイバーセキュリティ戦略&テクノロジーディレクターであるJuan Pablo Castro氏は、両イベントのルールを比較したGeminiの出力が「一語一句同じ」だったと述べています。
Wizは火消しの声明を発表し、Pwn2Ownのルールブックが「信頼できる成熟したフレームワークであり、私たちがインスパイアされた」と認めました。
