17.12.2025
1 хв
438
На першому в історії хакерському змаганні, повністю присвяченому хмарним технологіям, дослідники з кібербезпеки отримали $320 000 за демонстрацію 11 критичних zero-day вразливостей. Захід Zeroday Cloud, що відбувся в Лондоні, показав реальний рівень ризиків для сучасної cloud-інфраструктури та підтвердив, що навіть фундаментальні компоненти хмар залишаються вразливими.
Zeroday Cloud був організований дослідницьким підрозділом Wiz Research у партнерстві з Amazon Web Services, Microsoft та Google Cloud. Протягом 13 хакінг-сесій учасники успішно реалізували атаки у 85% випадків, зосередившись на ключових компонентах хмарної інфраструктури.
У перший день змагань було виплачено $200 000 за експлойти в Redis, PostgreSQL, Grafana та ядрі Linux. Другий день приніс ще $120 000 — дослідники зламали Redis, PostgreSQL і MariaDB, тобто бази даних, де зазвичай зберігаються облікові дані, секрети та чутлива інформація користувачів.
Однією з найнебезпечніших знахідок стала zero-day у ядрі Linux, яка дозволяла втечу з контейнера та порушення ізоляції між cloud-тенантами — фундаментального принципу безпеки хмарних сервісів. Команди Zellic і DEVCORE отримали $40 000 за успішні експлойти, а найбільшу одноразову винагороду здобула команда CCC. Переможцем змагання стала команда Xint Code, яка продемонструвала експлойти для Redis, MariaDB та PostgreSQL і отримала $90 000.
Окрему увагу організатори приділили штучному інтелекту: атаки на vLLM та Ollama могли призвести до витоку приватних AI-моделей, датасетів і промптів, однак ці спроби не були завершені в межах відведеного часу.
Варто зазначити, що попри значні виплати, $320 000 — це лише мала частина загального призового фонду у $4,5 млн. Жодної успішної атаки не зафіксували для Kubernetes, Docker, Jenkins, GitLab CE, Apache Airflow та популярних вебсерверів.
Zeroday Cloud наочно продемонстрував, що хмарна безпека — це не абстрактна теорія, а постійна гонка між захистом і реальними технічними атаками. Навіть зрілі та широко використовувані компоненти cloud-екосистем можуть містити критичні вразливості, здатні підірвати ізоляцію та довіру між орендарями.
