10-11 декабря в Лондоне на конференции Black Hat Europe будут впервые проведены соревнования ZeroDay Cloud, нацеленные на выявление уязвимостей в открытом ПО, применяемом в облачных окружениях. Призовой фонд соревнований определён в 4.5 млн долларов. Наибольшая премия, размером 300 тысяч долларов, назначена за взлом nginx. Премии, размером 100 тысяч долларов, назначены за взлом Apache Tomcat, Redis, PostgreSQL и MariaDB.
Для получения премий участники должны продемонстрировать рабочие эксплоиты, в которых используются ранее неизвестные уязвимости (0-day). В категории "виртуализация" эксплоиты должны позволять выйти за пределы изолированного контейнера или виртуальной машины, а в остальных категориях привести к удалённому выполнению своего кода. Настройки взламываемых приложений размещены на GitHub.
Предложены следующие категории, приложения для атаки и вознаграждения:
Предложены следующие категории, приложения для атаки и вознаграждения:
• Контейнеры и виртуализация:
*Docker ($40 000 для подготовленного атакующим образа контейнера и $60 000 при атаке с использованием любого образа),
* Containerd ($40 000/$60 000),
* пакет с ядром Linux из Ubuntu ($30 000).
• Web-серверы:
* nginx ($300 000),
* Apache Tomcat ($100 000),
* Envoy ($50 000),
* Caddy ($50 000).
• СУБД:
* Redis ($25 000 для RCE при аутентифицированном доступе, $100 000 - при неаутентифицированном),
* PostgreSQL ($20 000/$100 000),
* MariaDB ($20 000/$100 000).
• AI:
* Ollama ($25 000),
* vLLM ($25 000),
* NVIDIA Container Toolkit ($40 000 за выход из контейнера).
• Kubernetes и Cloud-Native:
* Kubernetes API Server ($40 000),
* Kubelet Server ($80 000),
* Grafana ($10 000 за RCE для аутентифицированного входа и $40 000 для RCE без аутентификации),
* Prometheus ($40 000),
* Fluent Bit ($10 000).
• Инструменты автоматизации и DevOps:
* Apache Airflow ($40 000),
* Jenkins ($40 000),
* GitLab CE ($40 000).
Заявки на участие принимаются до 1 декабря. К участию в конкурсе не допускаются сотрудники компаний-спонсоров (AWS, Microsoft, Google Cloud, Wiz) и жители подсанкционных стран ( >(ツ)< РФ, КНР, Иран, Северная Корея, Куба, Судан, Сирия, Ливия, Ливан).
Для получения премий участники должны продемонстрировать рабочие эксплоиты, в которых используются ранее неизвестные уязвимости (0-day). В категории "виртуализация" эксплоиты должны позволять выйти за пределы изолированного контейнера или виртуальной машины, а в остальных категориях привести к удалённому выполнению своего кода. Настройки взламываемых приложений размещены на GitHub.
Предложены следующие категории, приложения для атаки и вознаграждения:
Предложены следующие категории, приложения для атаки и вознаграждения:
• Контейнеры и виртуализация:
*Docker ($40 000 для подготовленного атакующим образа контейнера и $60 000 при атаке с использованием любого образа),
* Containerd ($40 000/$60 000),
* пакет с ядром Linux из Ubuntu ($30 000).
• Web-серверы:
* nginx ($300 000),
* Apache Tomcat ($100 000),
* Envoy ($50 000),
* Caddy ($50 000).
• СУБД:
* Redis ($25 000 для RCE при аутентифицированном доступе, $100 000 - при неаутентифицированном),
* PostgreSQL ($20 000/$100 000),
* MariaDB ($20 000/$100 000).
• AI:
* Ollama ($25 000),
* vLLM ($25 000),
* NVIDIA Container Toolkit ($40 000 за выход из контейнера).
• Kubernetes и Cloud-Native:
* Kubernetes API Server ($40 000),
* Kubelet Server ($80 000),
* Grafana ($10 000 за RCE для аутентифицированного входа и $40 000 для RCE без аутентификации),
* Prometheus ($40 000),
* Fluent Bit ($10 000).
• Инструменты автоматизации и DevOps:
* Apache Airflow ($40 000),
* Jenkins ($40 000),
* GitLab CE ($40 000).
Заявки на участие принимаются до 1 декабря. К участию в конкурсе не допускаются сотрудники компаний-спонсоров (AWS, Microsoft, Google Cloud, Wiz) и жители подсанкционных стран ( >(ツ)< РФ, КНР, Иран, Северная Корея, Куба, Судан, Сирия, Ливия, Ливан).