Престижне змагання з кібербезпеки Pwn2Own Berlin 2024 завершилося вражаючими результатами – фахівці виявили 28 критичних вразливостей нульового дня в корпоративних системах. Загальна сума винагород досягла рекордних 1 078 750 доларів США, причому особливу увагу привернули сім вразливостей, пов’язаних із системами штучного інтелекту.
Основні напрямки досліджень та технологічний охват
Програма змагань охопила широкий спектр критично важливих технологій, включаючи корпоративні додатки, системи штучного інтелекту, браузери та серверні рішення. Значну увагу було приділено хмарним технологіям та контейнеризації, де дослідники продемонстрували вразливості в таких популярних рішеннях як Docker Desktop та VMware ESXi. Автомобільний сегмент, представлений новітніми моделями Tesla (Model Y 2025 та Model 3 2024), залишився без уваги учасників.
Ключові досягнення та відкриття
Перший день змагань відзначився успішними демонстраціями експлойтів для Windows 11, Red Hat Linux та Oracle VirtualBox. Особливо вражаючим став успіх команди Summoning Team, яка отримала 35 000 доларів за виявлення вразливості в системі Chroma. Команда STAR Labs SG продемонструвала критичну вразливість у Docker Desktop, заробивши 60 000 доларів.
Найвагоміші результати та призові місця
Другий день приніс учасникам 435 000 доларів за виявлення вразливостей у Microsoft SharePoint та інших системах. Команда Wiz Research успішно продемонструвала експлойт типу use-after-free у Redis, що підкреслює важливість безпеки баз даних у корпоративному середовищі.
Абсолютним переможцем стала команда STAR Labs SG, яка набрала 35 очок Master of Pwn та отримала винагороду в розмірі 320 000 доларів. Особливо відзначився їхній спеціаліст Нгуен Хоанг Тхач, який отримав максимальну винагороду – 150 000 доларів за успішну експлуатацію вразливості в VMware ESXi.
Всі виявлені вразливості будуть передані виробникам, яким надається 90 днів на випуск виправлень. Після цього терміну TrendMicro Zero Day Initiative опублікує детальну інформацію про знайдені вразливості, що дозволить фахівцям з безпеки краще захистити корпоративні системи від потенційних загроз та кібератак.
