Κυβερνοεπιθέσεις σε VMware ESXi, Firefox, Red Hat Linux & SharePoint

Η δεύτερη ημέρα του διαγωνισμού Pwn2Own στο Βερολίνο το 2025 απέδειξε την ικανότητα των ερευνητών ασφαλείας, καθώς ανακάλυψαν κρίσιμες ευπάθειες σε σημαντικές επιχειρηματικές πλατφόρμες, κερδίζοντας $435,000 σε επιβραβεύσεις.

Σημαντικές επιτυχίες και μεγάλα χρηματικά έπαθλα

Ο διαγωνισμός, που διεξάγεται στο πλαίσιο του OffensiveCon στο Βερολίνο, έχει ήδη απονείμει συνολικά $695,000, με τους συμμετέχοντες να αποκαλύπτουν 20 μοναδικές ευπάθειες zero-day μέχρι στιγμής. Με μια ακόμη ημέρα διαγωνισμού να απομένει, οι διοργανωτές εκτιμούν ότι το συνολικό χρηματικό έπαθλο μπορεί να ξεπεράσει το όριο του $1 εκατομμυρίου.

Κρίσιμες επιχειρηματικές πλατφόρμες υπό επίθεση

Η δεύτερη ημέρα του διαγωνισμού ήταν μάρτυρας επιτυχημένων επιθέσεων σε αρκετές υψηλού προφίλ επιχειρηματικές πλατφόρμες. Ο Dinh Ho Anh Khoa από τη Viettel Cyber Security κατάφερε να εκμεταλλευτεί το Microsoft SharePoint συνδυάζοντας μια παράκαμψη αυθεντικοποίησης με ένα σφάλμα μη ασφαλούς απο-σειριοποίησης, κερδίζοντας $100,000 και 10 πόντους Master of Pwn.

Η ευπάθεια στο SharePoint αποτελεί σημαντικό κίνδυνο ασφάλειας για οργανισμούς παγκοσμίως, καθώς η πλατφόρμα χρησιμοποιείται ευρέως σε εταιρικά περιβάλλοντα για συνεργασία και διαχείριση εγγράφων.

Προκλήσεις και επιτυχίες σε άλλες πλατφόρμες

Ο διαγωνισμός επίσης είδε επιτυχημένες επιθέσεις σε άλλες κρίσιμες επιχειρηματικές εφαρμογές. Η ομάδα STAR Labs κατέχει ηγετική θέση στην κατάταξη Master of Pwn, έχοντας ήδη κερδίσει το μεγαλύτερο ατομικό έπαθλο των $60,000 για μια αλυσίδα εκμετάλλευσης που περιλάμβανε ευπάθεια στον πυρήνα του Linux, επιτρέποντάς τους να διαφύγουν από το Docker Desktop και να εκτελέσουν κώδικα στο υποκείμενο λειτουργικό σύστημα.

Η νέα κατηγορία AI προσελκύει το ενδιαφέρον

Η νεοεισαχθείσα κατηγορία AI στο Pwn2Own Βερολίνο 2025 συνεχίζει να προσελκύει επιτυχημένες επιθέσεις από ερευνητές ασφαλείας. Η πρώτη αυτή έκδοση του διαγωνισμού στο Βερολίνο είναι η πρώτη φορά που περιλαμβάνει ειδικούς στόχους ασφαλείας AI, αντανακλώντας τις αυξανόμενες ανησυχίες για τις ευπάθειες στις αναδυόμενες τεχνολογίες AI.

Ο Sina Kheirkhah της ομάδας Summoning έκανε ιστορία ως ο πρώτος νικητής στην κατηγορία AI, κερδίζοντας $20,000 για μια επίθεση στην ανοιχτού κώδικα βάση δεδομένων AI Chroma. Ο ίδιος ερευνητής κέρδισε επιπλέον $15,000 για την επιτυχή επίθεση σε έναν NVIDIA Triton Inference Server, αν και η επίθεση χαρακτηρίστηκε ως “σύγκρουση” επειδή ο προμηθευτής γνώριζε ήδη το σφάλμα αλλά δεν το είχε διορθώσει.

Η σημασία της συνεργασίας στην ασφάλεια

Η δεύτερη ημέρα του διαγωνισμού ανέδειξε επίσης αρκετές επιθέσεις “σύγκρουσης”, όπου οι ερευνητές ανέδειξαν ευπάθειες που ήταν ήδη γνωστές στους προμηθευτές αλλά παρέμεναν αδιόρθωτες. Για παράδειγμα, οι Mohand Acherir και Patrick Ventuzelo της FuzzingLabs εκμεταλλεύτηκαν το NVIDIA Triton, κερδίζοντας $15,000, παρόλο που η NVIDIA γνώριζε ήδη για την ευπάθεια.

Ο διαγωνισμός υπογραμμίζει τη σημασία της υπεύθυνης αποκάλυψης στην κυβερνοασφάλεια. Όλες οι ευπάθειες που παρουσιάζονται κατά τη διάρκεια του διαγωνισμού αποκαλύπτονται στους προμηθευτές, οι οποίοι συνήθως έχουν 90 ημέρες για να εκδώσουν διορθώσεις ασφαλείας πριν δημοσιευτούν τεχνικές λεπτομέρειες.

Αυτή η συνεργατική προσέγγιση μεταξύ ερευνητών ασφαλείας και προγραμματιστών λογισμικού βοηθά στην ενίσχυση του συνολικού τοπίου ασφαλείας. “Το Pwn2Own δεν αφορά μόνο το να σπάμε πράγματα, αλλά το να χτίζουμε ένα καλύτερο τοπίο κυβερνοασφάλειας”, εξήγησε η Trend Micro.

Η τρίτη και τελευταία ημέρα του διαγωνισμού συνεχίζεται στις 17 Μαΐου, με τους ερευνητές να στοχεύουν τα εναπομείναντα συστήματα, συμπεριλαμβανομένων των Windows 11, Oracle VirtualBox, προϊόντων VMware, Mozilla Firefox και συστημάτων NVIDIA.