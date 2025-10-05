The OpenNET Project / Index page

Соревнования по выявлению уязвимостей ZeroDay Cloud с призовым фондом 4.5 млн долларов

05.10.2025 10:16

10-11 декабря в Лондоне на конференции Black Hat Europe будут впервые проведены соревнования ZeroDay Cloud, нацеленные на выявление уязвимостей в открытом ПО, применяемом в облачных окружениях. Призовой фонд соревнований определён в 4.5 млн долларов. Наибольшая премия, размером 300 тысяч долларов, назначена за взлом nginx. Премии, размером 100 тысяч долларов, назначены за взлом Apache Tomcat, Redis, PostgreSQL и MariaDB.

Для получения премий участники должны продемонстрировать рабочие эксплоиты, в которых используются ранее неизвестные уязвимости (0-day). В категории "виртуализация" эксплоиты должны позволять выйти за пределы изолированного контейнера или виртуальной машины, а в остальных категориях привести к удалённому выполнению своего кода. Настройки взламываемых приложений размещены на GitHub.

Предложены следующие категории, приложения для атаки и вознаграждения:

  • Контейнеры и виртуализация:
    • Docker ($40 000 для подготовленного атакующим образа контейнера и $60 000 при атаке с использованием любого образа),
    • Containerd ($40 000/$60 000),
    • пакет с ядром Linux из Ubuntu ($30 000).
  • Web-серверы:
    • nginx ($300 000),
    • Apache Tomcat ($100 000),
    • Envoy ($50 000),
    • Caddy ($50 000).
  • СУБД:
    • Redis ($25 000 для RCE при аутентифицированном доступе, $100 000 - при неаутентифицированном),
    • PostgreSQL ($20 000/$100 000),
    • MariaDB ($20 000/$100 000).
  • AI:
    • Ollama ($25 000),
    • vLLM ($25 000),
    • NVIDIA Container Toolkit ($40 000 за выход из контейнера).
  • Kubernetes и Cloud-Native:
    • Kubernetes API Server ($40 000),
    • Kubelet Server ($80 000),
    • Grafana ($10 000 за RCE для аутентифицированного входа и $40 000 для RCE без аутентификации),
    • Prometheus ($40 000),
    • Fluent Bit ($10 000).
  • Инструменты автоматизации и DevOps:
    • Apache Airflow ($40 000),
    • Jenkins ($40 000),
    • GitLab CE ($40 000).

Заявки на участие принимаются до 1 декабря. К участию в конкурсе не допускаются сотрудники компаний-спонсоров (AWS, Microsoft, Google Cloud, Wiz) и жители подсанкционных стран (РФ, КНР, Иран, Северная Корея, Куба, Судан, Сирия, Ливия, Ливан).

  1. Главная ссылка к новости (https://www.wiz.io/blog/zeroda...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/64003-zeroday
Ключевые слова: zeroday, hack
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (20) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:28, 05/10/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +3 +/
    Странные категории, но ладно. Да и доступ тем, кого реально может заинтересовать, закрыли. Проблема в том, что продажа государствам намного выгоднее. А это так. По большей части ценно как развлекательное мероприятие, но не в рамках перечисленного.
     
     
  • 2.13, Аноним (13), 12:04, 05/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    https://opennet.ru/59517-law
     
     
  • 3.18, Аноним (18), 12:37, 05/10/2025 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    А что вы хотели? Работать бесплатно на запад а жить у нас? На двух стульях решили усидеть?!
     
     
  • 4.20, Аноним (13), 12:50, 05/10/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Тогда нужно от всего отказаться.
     
     
  • 5.35, Аноним (35), 21:49, 05/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Вовсе не обязательно, просто ввести разрешённый реестр.
     
  • 4.27, 12yoexpert (ok), 13:58, 05/10/2025 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    у кого у "вас"?
     
  • 4.32, Аноним (13), 18:33, 05/10/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    А те, кто называет открытые Linux-дистрибутивы отечественными ?
     

  • 1.2, Аноним (2), 10:33, 05/10/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Вот кстати к вопросу о том, что безопаснее: "безопасный" MAX или Telegram, где проводились подобные соревнования с целью взломать безопасный чат и это так никому и не удалось.
     
     
  • 2.3, Аноним (1), 10:39, 05/10/2025 [^] [^^] [^^^] [ответить]  
    		• +4 +/
    Так и тут не мессенджеры, а то, что интересно спонсорам. Если там тупо шифрование, то без участия разработчика или опубликованного в паблике метода взлома криптографического алгоритма за разумное время, ты далеко не уедешь. Чаще всего уязвимости из-за бездумно напиханных компонентов. Их которых мах состоит чуть более чем целиком, поэтому соревнования лишены смысла.
     
  • 2.4, Грека (?), 10:40, 05/10/2025 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Макс напрямую сливает все куда нужно. Даже если и само приложение и серверы очень защищены, данные все равно идут и сохраняются в нужном месте для выявления врагов народа. Поэтому нисколько неудивительно, что использовать его могут только граждане двух стран.
     
  • 2.11, Аноним (-), 11:23, 05/10/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    >"безопасный" MAX или Telegram, где проводились подобные соревнования с целью взломать безопасный чат и это так никому и не удалось.

    Тащмайор даже не пытается шифроваться, а просто тупо жирно набрасывет.

     
  • 2.31, Karl Richter (ok), 16:33, 05/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Зато умудряются взломать аккаунт.
     
  • 2.36, penetrator (?), 21:54, 05/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    и то хрень и то хрень, один изначально от майора, а во втором никто E2E не пользуется, и по умолчанию его нет - это цирк

     

  • 1.5, Аноним (5), 10:44, 05/10/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –2 +/
    >К участию в конкурсе не допускаются жители подсанкционных стран

    то есть тех, взломов которых они в теории и должны опасаться больше всего.

    Е - евробюрократы.

     
     
  • 2.21, Аноним (13), 12:51, 05/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    https://www.opennet.ru/opennews/art.shtml?num=59517
     

  • 1.6, Аноним (6), 10:56, 05/10/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    Дед знакомый на рыбалку ходит и постоянно выигрывает соревнования по ловле рыб.
    Спрашиваю, в чем же секрет. Он ответил что за ранее накидал себе в ящик окуня.
     
  • 1.24, Голдер и Рита (?), 13:29, 05/10/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    > Заявки на участие принимаются до 1 декабря.
    > 300 тысяч долларов, назначена за взлом nginx

    Я не успею подготовиться. 😭 Надеюсь, что будут ещё проводить такие соревнования…

     
  • 1.38, Аноним (-), 22:40, 05/10/2025 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
    		• +/
     

