На престижном хакерском соревновании Pwn2Own Berlin 2024 специалисты по информационной безопасности продемонстрировали впечатляющие результаты, обнаружив 28 уязвимостей нулевого дня в критически важных корпоративных системах. Общая сумма вознаграждений составила 1 078 750 долларов, при этом семь обнаруженных уязвимостей были связаны с системами искусственного интеллекта.
Ключевые достижения и направления исследований
Программа соревнований охватывала широкий спектр технологий, включая корпоративные приложения, системы искусственного интеллекта, браузеры, виртуальные машины, серверные решения, облачные и контейнерные технологии. Особое внимание привлек автомобильный сегмент, где Tesla представила два новейших электромобиля — Model Y 2025 и Model 3 2024 года. Примечательно, что ни один из участников не подал заявку на исследование безопасности автомобилей Tesla.
Хронология соревнования и значимые достижения
В первый день исследователи успешно продемонстрировали эксплуатацию уязвимостей в Windows 11, Red Hat Linux и Oracle VirtualBox. Команда Summoning Team получила 35 000 долларов за обнаружение уязвимости в Chroma, а STAR Labs SG заработала 60 000 долларов за выявление критической уязвимости в Docker Desktop.
Второй день принес участникам 435 000 долларов за обнаружение уязвимостей в Microsoft SharePoint, VMware ESXi и других системах. Особого внимания заслуживает успех команды Wiz Research, продемонстрировавшей эксплуатацию уязвимости типа use-after-free в Redis.
Победители и наиболее значимые достижения
Абсолютным победителем соревнования стала команда STAR Labs SG, набравшая 35 очков Master of Pwn и заработавшая 320 000 долларов. Их специалист Нгуен Хоанг Тхач получил максимальное вознаграждение в размере 150 000 долларов за успешную эксплуатацию уязвимости в VMware ESXi.
Все обнаруженные уязвимости будут переданы производителям, которым предоставляется 90 дней на выпуск исправлений. После этого срока TrendMicro Zero Day Initiative опубликует подробную информацию о найденных уязвимостях, что позволит специалистам по безопасности лучше защитить свои системы от потенциальных угроз.
