Соревнования по выявлению уязвимостей ZeroDay Cloud с призовым фондом 4.5 млн долларов

Silkway News
Silkway News
  • Date Time

10-11 декабря в Лондоне на конференции Black Hat Europe будут впервые проведены соревнования ZeroDay Cloud, нацеленные на выявление уязвимостей в открытом ПО, применяемом в облачных окружениях. Призовой фонд соревнований определён в 4.5 млн долларов. Наибольшая премия, размером 300 тысяч долларов, назначена за взлом nginx. Премии, размером 100 тысяч долларов, назначены за взлом Apache Tomcat, Redis, PostgreSQL и MariaDB.

Для получения премий участники должны продемонстрировать рабочие эксплоиты, в которых используются ранее неизвестные уязвимости (0-day). В категории “виртуализация” эксплоиты должны позволять выйти за пределы изолированного контейнера или виртуальной машины, а в остальных категориях привести к удалённому выполнению своего кода. Настройки взламываемых приложений размещены на GitHub.

Предложены следующие категории, приложения для атаки и вознаграждения:

  • Контейнеры и виртуализация:
    • Docker ($40 000 для подготовленного атакующим образа контейнера и $60 000 при атаке с использованием любого образа),
    • Containerd ($40 000/$60 000),
    • пакет с ядром Linux из Ubuntu ($30 000).
  • Web-серверы:
    • nginx ($300 000),
    • Apache Tomcat ($100 000),
    • Envoy ($50 000),
    • Caddy ($50 000).
  • СУБД:
    • Redis ($25 000 для RCE при аутентифицированном доступе, $100 000 – при неаутентифицированном),
    • PostgreSQL ($20 000/$100 000),
    • MariaDB ($20 000/$100 000).
  • AI:
    • Ollama ($25 000),
    • vLLM ($25 000),
    • NVIDIA Container Toolkit ($40 000 за выход из контейнера).
  • Kubernetes и Cloud-Native:
    • Kubernetes API Server ($40 000),
    • Kubelet Server ($80 000),
    • Grafana ($10 000 за RCE для аутентифицированного входа и $40 000 для RCE без аутентификации),
    • Prometheus ($40 000),
    • Fluent Bit ($10 000).
  • Инструменты автоматизации и DevOps:
    • Apache Airflow ($40 000),
    • Jenkins ($40 000),
    • GitLab CE ($40 000).

Заявки на участие принимаются до 1 декабря. К участию в конкурсе не допускаются сотрудники компаний-спонсоров (AWS, Microsoft, Google Cloud, Wiz) и жители подсанкционных стран (РФ, КНР, Иран, Северная Корея, Куба, Судан, Сирия, Ливия, Ливан).

Release. Ссылка here.

© 2025 - Silkway News