Вторият ден на престижното състезание Pwn2Own Berlin 2025 донесе изключителни резултати за общността по киберсигурност, след като изследователи демонстрираха експлойти на нулев ден (zero-day) срещу някои от най-използваните корпоративни технологии. Общо бяха присъдени 435 000 долара награди за успешни пробиви в платформи като VMware ESXi, Microsoft SharePoint, Oracle VirtualBox, Red Hat Enterprise Linux и Mozilla Firefox.
Най-високата индивидуална награда от деня — 150 000 долара — бе спечелена от Nguyen Hoang Thach от екипа на STARLabs SG, който демонстрира уязвимост от тип integer overflow в VMware ESXi — хипервизор, широко използван в корпоративни среди за виртуализация.
Друг впечатляващ успех дойде от Dinh Ho Anh Khoa от Viettel Cyber Security, който получи 100 000 долара за сложна експлоатационна верига срещу Microsoft SharePoint. Атаката комбинира прескачане на автентикация и уязвимост от тип небезопасна десериализация, което позволява изпълнение на злонамерен код.
Сред останалите забележителни демонстрации:
Edouard Bochin и Tao Yan от Palo Alto Networks използваха out-of-bounds write zero-day уязвимост в Mozilla Firefox.
Gerrard Tai от STARLabs SG ескалира привилегии до root в Red Hat Enterprise Linux, използвайки use-after-free уязвимост.
Екипът на Viettel Cyber Security демонстрира гост към хост пробив в Oracle VirtualBox чрез друга out-of-bounds write уязвимост.
За първи път в историята на Pwn2Own бе включена и категория за изкуствен интелект (AI). В нея екипът на Wiz Research използва use-after-free zero-day, за да пробие Redis, докато Qrious Secure комбинира четири отделни уязвимости, за да атакува Nvidia Triton Inference Server.
През първия ден на състезанието бяха присъдени 260 000 долара за успешни атаки срещу Windows 11, Red Hat Linux и Oracle VirtualBox, което доведе до обща сума от 695 000 долара само за първите два дни, включващи 20 уникални zero-day уязвимости.
Събитието се провежда от 15 до 17 май по време на конференцията OffensiveCon в Берлин. Общо над 1 милион долара са заложени като награди за откриване на уязвимости в категории като AI, уеб браузъри, виртуализация, ескалация на локални привилегии, сървъри, облачни и контейнерни технологии, автомобилни системи и други.
Въпреки наличието на Tesla Model Y (2025) и Model 3 (2024) в лабораторни условия, не бяха регистрирани опити за атака срещу автомобилните цели до момента.
В последния ден на състезанието се очакват опити за експлоатация на уязвимости в Windows 11, Oracle VirtualBox, VMware ESXi, VMware Workstation, Mozilla Firefox, както и Nvidia Triton Inference Server и Container Toolkit.
След края на състезанието, вендорите разполагат с 90 дни, за да пуснат корекции преди Zero Day Initiative на Trend Micro да публикува техническите детайли за откритите уязвимости.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
