クラウドセキュリティの祭典「Zeroday Cloud」開催
ロンドンで開催された初のクラウドシステムに特化したハッキングコンテスト「Zeroday Cloud」において、研究者たちはクラウドインフラで使用されるコンポーネントの重大なリモートコード実行の脆弱性を実証し、合計32万ドルを獲得しました。このイベントは、Wiz ResearchがAmazon Web Services、Microsoft、Google Cloudと提携して主催したものです。
合計13回のハッキングセッションを通じて、研究者たちは攻撃の85%で成功を収め、11件のゼロデイ脆弱性を明らかにしました。
32万ドルが授与されたゼロデイ脆弱性の詳細
イベント初日には、Redis、PostgreSQL、Grafana、およびLinuxカーネルの脆弱性の悪用に成功し、20万ドルが授与されました。2日目にはさらに12万ドルが授与され、クラウドシステムで機密情報(認証情報、シークレット、ユーザー情報など)を保存するために最も一般的に使用されるデータベースであるRedis、PostgreSQL、MariaDBの悪用が示されました。
特に注目すべきは、Linuxカーネルがコンテナエスケープの欠陥を通じて侵害されたことです。これにより、攻撃者はクラウドテナント間の分離を破り、クラウドセキュリティの核心を揺るがす可能性が示されました。サイバーセキュリティ企業のZellicとDEVCOREの研究者には、この成功に対して4万ドルが授与されました。
AIモデルへの挑戦と未発見の脆弱性
人工知能もイベントの焦点の一つでしたが、vLLMおよびOllamaモデルを標的としたハッキング試行は、時間切れのため失敗に終わりました。これらのモデルが侵害された場合、プライベートAIモデル、データセット、プロンプトが露呈する恐れがありました。
今回のZeroday Cloudコンペティションの終わりまでに、合計450万ドルの賞金プールが用意されていたにもかかわらず、授与された金額はごく一部にとどまりました。以下のカテゴリおよび製品では、ゼロデイ脆弱性の悪用は確認されませんでした。
- AI(Ollama、vLLM、Nvidia Container Toolkit)
- Kubernetes
- Docker
- Webサーバー(ngnix、Apache Tomcat、Envoy、Caddy)
- Apache Airflow
- Jenkins
- GitLab CE
チャンピオン「Team Xint Code」の活躍
初のZeroday Cloudイベントでは、Team Xint CodeがRedis、MariaDB、PostgreSQLの悪用に成功し、チャンピオンに輝きました。彼らはこれらの3つのエクスプロイトに対して9万ドルを獲得しました。