Londra'daki Zeroday Bulut hackleme yarışması, bulut altyapısında kullanılan bileşenlerdeki kritik uzaktan kod yürütme açıklarını gösteren araştırmacılara 320.000 ABD doları ödül verdi.
Bulut sistemlerine odaklanan ilk bilgisayar korsanlığı etkinliği olan yarışma, Amazon Web Services, Microsoft ve Google Cloud ortaklığıyla Wiz Research tarafından düzenleniyor.
Araştırmacılar, 13 bilgisayar korsanlığı oturumundaki bilgisayar korsanlığı girişimlerinin %85'inde başarılı oldu ve 11 sıfır gün güvenlik açığını ortaya koydu.
Etkinliği özetleyen bir blog gönderisi, ilk gün Redis, PostgreSQL, Grafana ve Linux çekirdeğindeki sorunlardan başarılı bir şekilde yararlanılmasına 200.000 ABD doları ödül verildiğini belirtti.
İkinci günde araştırmacılar, kritik bilgileri (ör. kimlik bilgileri, sırlar, hassas kullanıcı bilgileri) depolamak için bulut sistemleri tarafından kullanılan en popüler veritabanları olan Redis, PostgreSQL ve MariaDB'deki açıkları gösteren 120.000 ABD doları daha kazandılar.
Linux çekirdeği, saldırganların bulut kiracıları arasındaki izolasyonu kırmasına ve temel bulut güvenliği garantisini baltalamasına olanak tanıyan bir konteyner kaçış kusuru yoluyla ele geçirildi.
Siber güvenlik şirketleri Zellic ve DEVCORE'daki araştırmacılara başarılarından dolayı 40.000 dolar ödül verildi.
Yapay Zeka da vLLM ve Ollama modellerini hedef alan, özel yapay zeka modellerini, veri kümelerini ve istemlerini açığa çıkarabilen bilgisayar korsanlığı girişimlerinin olduğu bir konuydu, ancak her iki girişim de zamanın tükenmesi nedeniyle başarısız oldu.
İlk Zeroday Cloud yarışmasının sonunda Team Xint Code, Redis, MariaDB ve PostgreSQL'den başarıyla yararlanma konusunda şampiyon oldu. Team Xint Code, üç istismarından dolayı 90.000 dolar aldı.
Olumlu sonuca rağmen, verilen miktar, çeşitli hedeflere yönelik açıkları sergileyen araştırmacıların kullanabileceği 4,5 milyon dolarlık toplam ödül havuzunun yalnızca küçük bir kısmıdır.
Yarışmada herhangi bir açıktan yararlanmayan uygun kategoriler ve ürünler arasında AI (Ollama, vLLM, Nvidia Container Toolkit), Kubernetes, Docker, web sunucuları (ngnix, Apache Tomcat, Envoy, Caddy), Apache Airflow, Jenkins ve GitLab CE yer alıyor.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, "iyi" IAM'nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.
Bilgisayar korsanları, 700 sunucuyu ihlal etmek için sıfır gün yama uygulanmamış Gogs'tan yararlanıyor
Bilgisayar korsanlığı kayıtlarına sahip müteahhitler 96 devlet veri tabanını silmekle suçlanıyor
W3 Total Cache WordPress eklentisi PHP komut enjeksiyonuna karşı savunmasız
Synology, Pwn2Own İrlanda'da tanıtılan BeeStation sıfır günlerini düzeltti
84.000'den fazla Roundcube örneği aktif olarak istismar edilen kusurlara karşı savunmasız
Kaynak: Bleeping Computer