Kompanija Wiz, poznata po rješenjima za bezbjednost u cloud-u, objavila je pokretanje novog hakerskog takmičenja u kojem učesnici mogu osvojiti nagrade za demonstriranje napada na popularne servise i softver u cloud-u.
Takmičenje nosi naziv Zeroday.Cloud, a ukupni fond nagrada iznosi 4,5 miliona dolara. Zainteresovani istraživači bezbjednosti moraju poslati svoje prijave do 1. decembra, dok će finalisti uživo prikazati svoje eksploite na Black Hat Europe konferenciji koja se održava 10. i 11. decembra u Londonu.
Wiz je za ovo takmičenje udružio snage sa AWS-om, Google Cloudom i Microsoftom. Vrijedi napomenuti da je Google nedavno najavio plan da preuzme Wiz u akviziciji vrijednoj 32 milijarde dolara.
Zeroday.Cloud obuhvata šest kategorija, među kojima je i AI. U toj oblasti, maksimalne nagrade se kreću između 25.000 i 40.000 dolara, za eksploite koji ciljaju proizvode kao što su Ollama, vLLM i Nvidia Container Toolkit.
U kategoriji Kubernetes i cloud native tehnologija, nagrade se kreću od 10.000 do 80.000 dolara, a meta su Kubernetes API Server, Kubelet Server, Grafana, Prometheus i Fluent Bit. Najveća nagrada dodjeljuje se za ranjivosti u Kubernetes API Serveru.
Kategorija kontejnera i virtualizacije pokriva Docker, Containerd i Linux Kernel, uz nagrade od 30.000 do 60.000 dolara.
U oblasti web servera, moguće je osvojiti do 300.000 dolara za Nginx eksploite, 100.000 dolara za Tomcat, te 50.000 dolara za ranjivosti u Caddy i Envoy serverima.
Eksploiti koji omogućavaju daljinsko izvršavanje koda bez autentifikacije u bazama podataka kao što su Redis, PostgreSQL i MariaDB, mogu donijeti nagrade do 100.000 dolara.
Takođe, ranjivosti u DevOps i automatizacionim alatima poput Apache Airflowa, Jenkinsa i GitLab CE-a nagrađuju se iznosima do 40.000 dolara.
„Prijavljeni eksploiti moraju rezultirati potpunim kompromitovanjem mete – što znači potpuni bijeg iz kontejnera ili virtuelne mašine u kategoriji virtualizacije, odnosno nultoklikni RCE napad za ostale ciljeve“, objasnio je Nir Ohfeld, šef tima za istraživanje ranjivosti u Wizu.
Kompanija Trend Micro, čija Zero Day Initiative (ZDI) već skoro dvije decenije organizuje poznato hakersko takmičenje Pwn2Own, optužila je Wiz da je doslovno prepisao pojedine dijelove njihovih pravila.
Izvor: SecurityWeek
