当前位置: 首页 > news >正文

首届 Zeroday Cloud 黑客大赛落幕,11个0day 获32万美元赏金

聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

首届Zeroday Cloud黑客大赛在英国伦敦落下帷幕,研究员从云基础设施中使用的组件中发现了多个严重的远程代码执行漏洞,总计获得32万美元的赏金。

本届大赛主要关注云系统,由 Wiz Research 联合亚马逊 Web Services、微软和谷歌云联合举办。研究人员在13个入侵场次中获得85%的成功率,发现了11个0day漏洞。

比赛第一天,主办方为成功利用Redis、PostgreSQL、Grafana和 Linux 内核中漏洞的研究人员发放了20万美元的赏金。第二天,研究人员从云系统用于存储关键信息(如凭据、机密信息、用户敏感信息)的使用最广泛数据库 Redis、PostgreSQL 和 MariaDB中发现了漏洞,获得12万美元赏金。

研究人员成功通过一个容器逃逸漏洞攻陷Linux 内核系统,该漏洞可导致攻击者攻破云租户之间的隔离,损坏核心的云安全措施。网络安全公司 Zellic 和 DEVCORE的研究人员成功获得4万美元赏金。

人工智能也是大赛主题之一。研究人员尝试攻击 vLLM和Ollama 模型,本可导致私有AI模型、数据集和提示遭泄露,不过因超时问题这两次利用尝试均以失败告终。

第一天比赛以 Xint Code 团队成功利用 Redis、MariaDB 和 PostgreSQL漏洞并获9万美元赏金而摘得桂冠的战绩结束。

尽管本届大赛成果颇丰,但研究员所获赏金仅占总奖金池(450万美元)的一小部分。研究人员未能从大赛的其它有效类别和产品中发现漏洞,包括 AI (Ollama、vLLM、英伟达Container Toolkit)、Kubernetes、Docker、web 服务器(ngnix、Apache Tomcat、Envoy、Caddy)、Apache Airflow、Jenkins 和 GitLab CE。

开源卫士试用地址:https://oss.qianxin.com/#/login

代码卫士试用地址:https://sast.qianxin.com/#/login


推荐阅读

Zeroday Cloud 黑客大赛专注开源云和AI工具,赏金池450万美元

微软推出 Zero Day Quest 黑客活动,奖金池达400万美元

群晖修复 Pwn2Own大赛中利用的BeeStation 0day 漏洞

QNAP修复Pwn2Own大赛上发现的7个 NAS 0day 漏洞

Pwn2Own 2026 东京汽车大赛目标和奖金公布

原文链接

https://www.bleepingcomputer.com/news/security/zeroday-cloud-hacking-event-awards-320-0000-for-11-zero-days/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错,就点个 “在看” 或 "赞” 吧~

http://www.cnnetsun.cn/news/156648.html

相关文章:

  • 豆包大模型 1.8 正式发布!更强多模态 Agent 能力、更灵活的上下文管理
  • iOS动画开发终极指南:如何通过lottie-ios组件库重构提升开发效率
  • Windows 11界面定制终极指南:ExplorerPatcher完全配置手册
  • FFXIVQuickLauncher终极评测:为什么这款启动器能彻底改变你的最终幻想14游戏体验
  • 腾讯开源Hunyuan-1.8B高效对话模型
  • Langchain-Chatchat在客户服务知识库中的SLA保障机制
  • VibeVoice:90分钟多角色开源TTS新突破
  • D2-Net终极指南:如何用单个CNN实现联合特征检测与描述
  • ExplorerPatcher:彻底改变Windows 11界面定制的终极神器
  • Langchain-Chatchat在项目管理文档检索中的时间轴定位功能
  • iOS 16.7调试环境快速配置指南:解决Xcode设备支持库缺失问题
  • Butterfly流程图组件库终极指南:从入门到实战的深度解析
  • Lottie-web:跨平台动画渲染的终极解决方案
  • Classic Shell终极指南:重新定义你的Windows开始菜单体验
  • 5个理由告诉你为什么Carnac是键盘操作可视化的终极解决方案
  • Ring-flash-linear-2.0:高效混合架构开源大模型
  • 2024年前端UI框架智能选型:从业务场景到技术落地的完整决策框架
  • Chrono终极并行测试指南:如何实现75%的测试效率提升
  • Stockfish国际象棋引擎完全指南:为什么它是棋手的最佳免费选择?
  • 5分钟掌握egui:Rust生态中最简单的图形界面开发方案
  • 智能家居平台大比拼:哪款更适合你的生活场景?
  • 腾讯开源libpag动画渲染库4.4.29版本发布:终极跨平台动画性能优化指南
  • 在WSL中完美运行ROCm:AMD GPU计算平台配置实战指南
  • ANSYS工程仿真实战指南:72个精选案例助你成为仿真高手
  • 终极配置化表单解决方案:用JSON Schema重构你的React开发体验
  • 虚拟机部署Open-AutoGLM总失败?你必须掌握的7个调试技巧
  • LSPosed框架完整指南:从入门到精通掌握Android模块化开发
  • Android数学公式显示难题的终极解决方案:MathView库使用详解
  • 终极Ventoy启动盘制作指南:一U盘搞定所有系统安装
  • 如何彻底解决JUnit4测试执行顺序混乱问题?