Тазгодишното издание на престижното хакерско състезание Pwn2Own Berlin 2025 приключи с впечатляващи резултати: 29 Zero Day уязвимости бяха демонстрирани успешно, а общата сума на изплатените награди достигна 1 078 750 долара. Събитието, организирано от Zero Day Initiative (ZDI) на Trend Micro, събра водещи експерти по киберсигурност от цял свят, които атакуваха най-новите версии на корпоративни технологии в контролирана и етична среда.

Какво беше атакувано?

По време на тридневния конкурс участниците се състезаваха в следните категории:

• Изкуствен интелект (AI)

• Уеб браузъри

• Виртуализация

• Локално ескалиране на привилегии

• Сървъри и корпоративни приложения

• Контейнеризация и облачни среди

• Автомобилна сигурност

Всички системи бяха изцяло актуализирани и работеха с най-новите версии на операционните системи — стандартно изискване на Pwn2Own, което гарантира, че демонстрираните атаки използват реални Zero Day уязвимости.

Без пробиви в Tesla

Въпреки предоставените от Tesla два модела за тестове (Tesla Model Y 2025 и Tesla Model 3 2024, под формата на лабораторни единици), няма регистрирани опити за атака в автомобилната категория през тази година. Това обаче не омаловажава останалите успехи.

Разпределение на наградите

• Ден 1: $260,000

• Ден 2: $435,000

• Ден 3: $383,750

След състезанието, разработчиците разполагат с 90 дни, за да пуснат корекции преди публично разкриване на уязвимостите от ZDI.

Победителите

 STAR Labs SG

Сингапурският екип STAR Labs спечели титлата „Master of Pwn“ със 35 точки и $320,000 награди. Те успешно атакуваха Red Hat Enterprise Linux, Docker Desktop, Windows 11, VMware ESXi и Oracle VirtualBox.

Най-впечатляващото постижение на екипа бе експлойт срещу VMware ESXi, базиран на integer overflow, който донесе $150,000 — най-голямата единична награда на събитието.

 Viettel Cyber Security (Виетнам)

Те се класираха на второ място с атаки, включващи:

• Избягване от виртуална машина чрез експлойт за Oracle VirtualBox

• Комбинирана атака срещу Microsoft SharePoint, включваща авторизационен обход и несигурна десериализация

Reverse Tactics

Третото място зае екипът Reverse Tactics, който на третия ден атакува отново VMware ESXi чрез верига от уязвимости — integer overflow и неинициализирана променлива — и спечели $112,500.

Реакция от доставчиците: Mozilla вече пусна пачове

Mozilla реагира бързо на демонстрираните уязвимости във Firefox, като пусна пачове за:

• CVE-2025-4918

• CVE-2025-4919

Проблемите са коригирани във версиите Firefox 138.0.4, ESR 128.10.1, ESR 115.23.1, както и в нова версия за Android.

Компанията също така припомня, че и през март 2024 г. участник в Pwn2Own Vancouver откри и докладва други две критични уязвимости във Firefox, които бяха отстранени своевременно.

Заключение

Pwn2Own Berlin 2025 ясно показва, че дори най-новите и актуализирани корпоративни системи не са имунизирани срещу сложни атаки. Събитието напомня колко важно е за организациите:

• Да прилагат активен подход към управлението на уязвимости

• Да инвестират в редовни оценки на сигурността

• Да следят внимателно сигнали от общността за киберсигурност

Конкурсът отново утвърди ролята си на водещ източник на открития за 0- дневни заплахи, както и на мост между независимите изследователи и индустрията, насърчавайки отговорно разкриване и бързи реакции от страна на вендорите.