Соревнования по выявлению уязвимостей ZeroDay Cloud с призовым фондом 4.5 млн долларов

05.10.2025 10:16

10-11 декабря в Лондоне на конференции Black Hat Europe будут впервые проведены соревнования ZeroDay Cloud, нацеленные на выявление уязвимостей в открытом ПО, применяемом в облачных окружениях. Призовой фонд соревнований определён в 4.5 млн долларов. Наибольшая премия, размером 300 тысяч долларов, назначена за взлом nginx. Премии, размером 100 тысяч долларов, назначены за взлом Apache Tomcat, Redis, PostgreSQL и MariaDB.

Для получения премий участники должны продемонстрировать рабочие эксплоиты, в которых используются ранее неизвестные уязвимости (0-day). В категории "виртуализация" эксплоиты должны позволять выйти за пределы изолированного контейнера или виртуальной машины, а в остальных категориях привести к удалённому выполнению своего кода. Настройки взламываемых приложений размещены на GitHub.

Предложены следующие категории, приложения для атаки и вознаграждения:

Контейнеры и виртуализация:
- Docker ($40 000 для подготовленного атакующим образа контейнера и $60 000 при атаке с использованием любого образа),
- Containerd ($40 000/$60 000),
- пакет с ядром Linux из Ubuntu ($30 000).
Web-серверы:
- nginx ($300 000),
- Apache Tomcat ($100 000),
- Envoy ($50 000),
- Caddy ($50 000).
СУБД:
- Redis ($25 000 для RCE при аутентифицированном доступе, $100 000 - при неаутентифицированном),
- PostgreSQL ($20 000/$100 000),
- MariaDB ($20 000/$100 000).
AI:
- Ollama ($25 000),
- vLLM ($25 000),
- NVIDIA Container Toolkit ($40 000 за выход из контейнера).
Kubernetes и Cloud-Native:
- Kubernetes API Server ($40 000),
- Kubelet Server ($80 000),
- Grafana ($10 000 за RCE для аутентифицированного входа и $40 000 для RCE без аутентификации),
- Prometheus ($40 000),
- Fluent Bit ($10 000).
Инструменты автоматизации и DevOps:
- Apache Airflow ($40 000),
- Jenkins ($40 000),
- GitLab CE ($40 000).

Заявки на участие принимаются до 1 декабря. К участию в конкурсе не допускаются сотрудники компаний-спонсоров (AWS, Microsoft, Google Cloud, Wiz) и жители подсанкционных стран (РФ, КНР, Иран, Северная Корея, Куба, Судан, Сирия, Ливия, Ливан).

исправить +4 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/64003-zeroday

Ключевые слова: zeroday, hack

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (24)

1.1, Аноним (1), 10:28, 05/10/2025 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Странные категории, но ладно. Да и доступ тем, кого реально может заинтересовать, закрыли. Проблема в том, что продажа государствам намного выгоднее. А это так. По большей части ценно как развлекательное мероприятие, но не в рамках перечисленного.

2.13, Аноним (13), 12:04, 05/10/2025 [^] [^^] [^^^] [ответить]	+/–
https://opennet.ru/59517-law

3.18, Аноним (18), 12:37, 05/10/2025 [^] [^^] [^^^] [ответить]	+/–
А что вы хотели? Работать бесплатно на запад а жить у нас? На двух стульях решили усидеть?!

4.20, Аноним (13), 12:50, 05/10/2025 [^] [^^] [^^^] [ответить]	+2 +/–
Тогда нужно от всего отказаться.

5.35, Аноним (35), 21:49, 05/10/2025 [^] [^^] [^^^] [ответить]	+/–
Вовсе не обязательно, просто ввести разрешённый реестр.

4.27, 12yoexpert (ok), 13:58, 05/10/2025 [^] [^^] [^^^] [ответить]	+5 +/–
у кого у "вас"?

5.46, Аноним (46), 15:22, 06/10/2025 [^] [^^] [^^^] [ответить]	+/–
у нас в подсанкционных странах

4.32, Аноним (13), 18:33, 05/10/2025 [^] [^^] [^^^] [ответить]	+3 +/–
А те, кто называет открытые Linux-дистрибутивы отечественными ?

2.42, penetrator (?), 10:37, 06/10/2025 [^] [^^] [^^^] [ответить]	+/–
так это же клауд маркетинг дей, вот и стек такой

1.2, Аноним (2), 10:33, 05/10/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Вот кстати к вопросу о том, что безопаснее: "безопасный" MAX или Telegram, где проводились подобные соревнования с целью взломать безопасный чат и это так никому и не удалось.

2.3, Аноним (1), 10:39, 05/10/2025 [^] [^^] [^^^] [ответить]	+4 +/–
Так и тут не мессенджеры, а то, что интересно спонсорам. Если там тупо шифрование, то без участия разработчика или опубликованного в паблике метода взлома криптографического алгоритма за разумное время, ты далеко не уедешь. Чаще всего уязвимости из-за бездумно напиханных компонентов. Их которых мах состоит чуть более чем целиком, поэтому соревнования лишены смысла.

2.4, Грека (?), 10:40, 05/10/2025 [^] [^^] [^^^] [ответить]	+3 +/–
Макс напрямую сливает все куда нужно. Даже если и само приложение и серверы очень защищены, данные все равно идут и сохраняются в нужном месте для выявления врагов народа. Поэтому нисколько неудивительно, что использовать его могут только граждане двух стран.

2.11, Аноним (-), 11:23, 05/10/2025 [^] [^^] [^^^] [ответить]	+1 +/–
>"безопасный" MAX или Telegram, где проводились подобные соревнования с целью взломать безопасный чат и это так никому и не удалось. Тащмайор даже не пытается шифроваться, а просто тупо жирно набрасывет.

2.31, Karl Richter (ok), 16:33, 05/10/2025 [^] [^^] [^^^] [ответить]	+/–
Зато умудряются взломать аккаунт.

2.36, penetrator (?), 21:54, 05/10/2025 [^] [^^] [^^^] [ответить]	+/–
и то хрень и то хрень, один изначально от майора, а во втором никто E2E не пользуется, и по умолчанию его нет - это цирк

1.5, Аноним (5), 10:44, 05/10/2025 [ответить] [﹢﹢﹢] [ · · · ]

–1 +/–

>К участию в конкурсе не допускаются жители подсанкционных стран

то есть тех, взломов которых они в теории и должны опасаться больше всего.

Е - евробюрократы.

2.21, Аноним (13), 12:51, 05/10/2025 [^] [^^] [^^^] [ответить]	–1 +/–
https://www.opennet.me/opennews/art.shtml?num=59517

1.6, Аноним (6), 10:56, 05/10/2025 [ответить] [﹢﹢﹢] [ · · · ]	+5 +/–
Дед знакомый на рыбалку ходит и постоянно выигрывает соревнования по ловле рыб. Спрашиваю, в чем же секрет. Он ответил что за ранее накидал себе в ящик окуня.

1.38, Аноним (-), 22:40, 05/10/2025 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
не допускаются жители подсанкционных стран (РФ, КНР, Иран, Северная Корея, Куба, Судан, Сирия, Ливия, Ливан) Это называется - отморожу уши назло маме. Мероприятие проводится с целью найти уязвимости для улучшения ПО. Если жители подсанкционных стран могут знать о таких уязвимостях, то со стороны организаторов будет глупо их не выслушать и не исправить. Особенно когда эти самые страны постоянно обвиняются в кибератаках, в том числе с использованием этих уязвимостей.

2.43, Аноним (43), 12:31, 06/10/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Организаторам проще запретить участвовать, чем потом поиметь потенциальные проблемы с ихним законом.

2.44, Аноним (-), 13:22, 06/10/2025 [^] [^^] [^^^] [ответить]

+1 +/–

> Это называется - отморожу уши назло маме.

Или не называется. Чтобы сказать, будет ли им хуже от этих ограничений, надо сравнить два сценария, когда ограничения есть и когда их нет. Есть несколько вопросов, над которыми я тебе предлагаю подумать:

1. Будут ли исследователи безопасности этих самых стран продавать уязвимости, если такая возможность будет, вместо того, чтобы проводить кибератаки? Или хотя бы сочетать то и это?

2. Будут ли исследователи безопасности эмигрировать из подсанкционных стран, если это позволит им зарабатывать денег своей специальностью?

3. Не увеличит ли количество кибератак финансирование исследователей безопасности тех самых стран, которые постоянно обвиняются в кибератаках?

3.45, Аноним (45), 14:25, 06/10/2025 [^] [^^] [^^^] [ответить]	+/–
>финансирование исследователей безопасности Ты новость чем читаешь? Финансируют результат, а не сам процесс, если что. Впрочем, оно и к лучшему. Будет моральное право использовать это всё для личных корыстных целей.

1.47, Аноним (47), 16:34, 06/10/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Если ущерб от уязвимостей всего софта на свете всего 4.5 лямов, наверное толку от них нет, буря в стакане, только страхи нагоняют промывая мозги чтобы устроить цифровой гулаг.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: