A competição Zeroday Cloud, realizada em Londres, premiou pesquisadores com US$ 320 mil por demonstrarem vulnerabilidades críticas de execução remota de código em componentes utilizados na infraestrutura de cloud.
Esse foi o primeiro evento focado exclusivamente em sistemas de nuvem, organizado pela Wiz Research em parceria com Amazon Web Services, Microsoft e Google Cloud.
Nas 13 sessões de hacking, os pesquisadores tiveram sucesso em 85% das tentativas, revelando 11 vulnerabilidades zero-day.
Um post no blog oficial resumiu o evento, destacando que US$ 200 mil foram concedidos no primeiro dia pela exploração de falhas em Redis, PostgreSQL, Grafana e no kernel Linux.
No segundo dia, os pesquisadores receberam mais US$ 120 mil, mostrando exploits em Redis, PostgreSQL e MariaDB — bancos de dados amplamente usados em cloud para armazenar informações críticas, como credenciais, segredos e dados sensíveis de usuários.
Uma das brechas mais graves identificadas foi no kernel Linux, explorada por meio de uma falha de escape de container.
Essa vulnerabilidade permitiu que atacantes quebrassem o isolamento entre clientes da nuvem, comprometendo uma das principais garantias de segurança desse ambiente.
As equipes das empresas de cibersegurança Zellic e DEVCORE receberam US$ 40 mil por suas descobertas.
A inteligência artificial também foi tema do evento, com ataques direcionados aos modelos vLLM e Ollama.
Esses testes poderiam ter exposto modelos privados de IA, seus datasets e prompts, mas ambas as tentativas falharam por falta de tempo.
Ao final da competição, o time Xint Code foi campeão ao explorar vulnerabilidades em Redis, MariaDB e PostgreSQL, faturando US$ 90 mil pelos três exploits.
Apesar dos resultados positivos, o valor pago representa apenas uma pequena parcela do total de US$ 4,5 milhões disponíveis para pesquisadores que apresentarem exploits em diversas categorias.
Ainda não foram encontrados exploits, entre as categorias elegíveis, em produtos e sistemas como IA (Ollama, vLLM, Nvidia Container Toolkit), Kubernetes, Docker, servidores web (Nginx, Apache Tomcat, Envoy, Caddy), Apache Airflow, Jenkins e GitLab CE.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...