Zeroday Cloud hacking contest offers $4.5 million in bounties

オープンソースのクラウドとAIツールに焦点を当てた新しいハッキングコンテスト「Zeroday Cloud」が、様々なターゲットに対するエクスプロイトを提出した研究者に総額450万ドルのバグ報奨金を授与すると発表した。

このコンテストは、クラウドセキュリティ企業Wizの研究部門がGoogle Cloud、AWS、Microsoftと提携して立ち上げたもので、12月10日と11日に英国ロンドンで開催されるBlack Hat Europeカンファレンスで予定されている。

Zeroday Cloudには、研究者が参加できる6つのカテゴリーがあり、バグ報奨金は$10,000から$300,000となっている:

  • AI -Ollama(2万5000ドル)、Vllm(2万5000ドル)、Nvidia Container Toolkit(4万ドル)
  • KubernetesとCloud-Native– Kubernetes API Server(8万ドル)、Kubelet Server(4万ドル)、Grafana(1万ドルの認証RCE、4万ドルの事前認証RCE)、Prometheus(4万ドル)、Fluent Bit(1万ドル)
  • コンテナと仮想化– Docker(ユーザー提供イメージ$40、任意イメージ$60k)、Containerd(ユーザー提供イメージ$40、任意イメージ$60k)、Linux Kernel(Ubuntu上でのコンテナエスケープ$30k)
  • ウェブサーバ– nginx ($300k)、Apache Tomcat ($100k)、Envoy ($50k)、Caddy ($50k)
  • データベース – Redis ($25k auth RCE、$100k pre-auth RCE)、PostgreSQL ($20k auth RCE、$100k pre-auth RCE)、MariaDB ($20k auth RCE、$100k pre-auth RCE)
  • DevOps & Automation– Apache Airflow(4万ドル)、Jenkins(4万ドル)、GitLab CE(4万ドル)

コンペティションのルールでは、提出されたエクスプロイトはターゲットの完全な侵害につながるものでなければならないとされている。Wizの説明によると、これは “仮想化カテゴリではコンテナ/VMの完全なエスケープ、その他のターゲットでは0-クリックのリモートコード実行(RCE)脆弱性 “を意味する。

主催者はまた、各ターゲットの条件と、セキュリティ研究者がエクスプロイトをテストするために使用できる手順と技術リソース(デフォルト設定のターゲット付きDockerコンテナ)も提供している。

HackerOneプラットフォームを通じて登録し、11月20日までにID確認とTax Formsを完了した研究者は、好きなだけ多くのターゲットに対してエクスプロイトを提出することができるが、1つのターゲットにつき1つのエントリーのみに制限される。

承認されたエクスプロイトの提出者は、単独または最大5人のメンバーで構成されるチームで、イベント中にライブデモを行うよう招待される。

ロシア、中国、イラン、北朝鮮、キューバ、スーダン、シリア、リビア、レバノン、クリミア、ドネツクなどの禁輸国または制裁国に居住する人々は、ゼロデイクラウドコンテストへの参加が制限されています。

zeroday.cloudハッキング・コンテストの完全なルールはこちらで入手できる

しかし、このイベントの発表は、数年にわたり大成功を収めてきたPwn2Ownハッキング・コンテストの主催者には響かなかった。

トレンドマイクロ社は公開投稿で、Wiz社がPwn2Ownアイルランドのルールをコピーしたことを非難した。トレンドマイクロのサイバーセキュリティ戦略・技術担当ディレクターであるフアン・パブロ・カストロ氏は、2つのイベントのルールを比較したジェミニのアウトプットは「一字一句」コピーであると述べた。

Wizはこれに対し、Pwn2Ownのルールブックは “信頼できる成熟したフレームワークであり、我々はそれにインスパイアされた “と認め、場を和ませる声明を発表した。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}

.ia_button {
width: 100%;
margin: 0px auto;
}
}


Picus BAS Summit

今年のセキュリティ検証イベントPicus BASサミット

Breach and Attack Simulation Summitに参加して、セキュリティ検証の未来を体験してください。一流の専門家から話を聞き、AIを搭載したBASが侵害と攻撃のシミュレーションをどのように変革するかをご覧ください。

セキュリティ戦略の未来を形作るイベントをお見逃しなく。