Przełamywanie zabezpieczeń na oczach świata
Drugi dzień tegorocznej edycji Pwn2Own Berlin 2025 pokazał, że nawet największe firmy technologiczne nie są odporne na spryt i determinację badaczy bezpieczeństwa. Na scenie pojawiły się najbardziej prestiżowe marki – VMware, Microsoft, Oracle, Red Hat i Mozilla – ale to nie one zebrały owacje. Bohaterami dnia okazali się eksperci z różnych zakątków świata, którzy wykorzystali nieznane dotąd luki typu zero-day, by złamać zabezpieczenia w pełni zaktualizowanego oprogramowania. Na szczególną uwagę zasłużył Nguyen Hoang Thach z zespołu STARLabs SG. Jego udana eksploracja błędu przepełnienia liczb całkowitych w środowisku VMware ESXi została nagrodzona kwotą 150 000 dolarów. Jego prezentacja nie tylko zdobyła najwyższą nagrodę dnia, ale też wywołała spore poruszenie wśród specjalistów ds. bezpieczeństwa z branży IT. Równie imponujące było osiągnięcie Dinh Ho Anh Khoi z Viettel Cyber Security. Skonstruował on złożony łańcuch exploitów, łącząc obejście uwierzytelniania z luką w deserializacji, by przejąć kontrolę nad platformą Microsoft SharePoint. Jury doceniło zarówno techniczne wyrafinowanie ataku, jak i jego potencjalną skuteczność w środowisku produkcyjnym. Nagroda? 100 000 dolarów – i kolejne potwierdzenie, że SharePoint nie może spoczywać na laurach. Na tym jednak nie koniec demonstracji słabości dużych graczy. W przeglądarce Mozilla Firefox wykazano podatność na zapis danych poza wyznaczonym zakresem, a Oracle VirtualBox okazał się wrażliwy na ucieczkę gościa do hosta. Red Hat Enterprise Linux z kolei dał się pokonać błędowi use-after-free, pozwalając na eskalację uprawnień aż do poziomu root.
Sztuczna inteligencja też pod ostrzałem
Nowością w tegorocznej edycji konkursu była kategoria poświęcona sztucznej inteligencji. Zadebiutowała w spektakularny sposób. Zespół Wiz Research zaprezentował podatność typu use-after-free w popularnej bazie danych Redis, używanej w systemach AI. Równolegle specjaliści z Qrious Secure połączyli cztery różne luki, by z powodzeniem zaatakować serwer Triton Inference firmy Nvidia – platformę wykorzystywaną m.in. w środowiskach produkcyjnych do obsługi modeli językowych i predykcyjnych. Pwn2Own w Berlinie od samego początku koncentrował się na technologiach wykorzystywanych w przedsiębiorstwach. To tutaj testowane są systemy, które napędzają centra danych, korporacyjne serwery czy rozwiązania wirtualizacji stosowane na całym świecie. W tym roku pula nagród przekraczała milion dolarów, a w konkursie wzięły udział zespoły z różnych krajów, reprezentujące zarówno prywatne firmy, jak i niezależnych badaczy. Co ciekawe, choć organizatorzy przygotowali również możliwość testowania bezpieczeństwa samochodów Tesli – w tym modeli Model Y z 2025 roku i Model 3 z 2024 – do dnia rozpoczęcia wydarzenia nie zarejestrowano żadnej próby włamania do tych pojazdów. Można to odebrać jako oznakę, że albo systemy Tesli rzeczywiście są szczelne, albo też atakujący wciąż przygotowują się do działania. Łączna kwota nagród po dwóch dniach konkursu wyniosła 695 000 dolarów. W tym czasie zaprezentowano już 20 unikalnych exploitów zero-day, a lista produktów, które okazały się podatne, robi wrażenie. Od Windowsa 11, przez Red Hat, po Oracle i Mozillę – żadna z tych platform nie zdołała uniknąć kompromitacji.
Organizator konkursu, Zero Day Initiative, zapewnia, że wszyscy dostawcy zostali poinformowani o wykrytych lukach. Mają teraz 90 dni na przygotowanie i wydanie stosownych poprawek. Dopiero po tym okresie szczegóły techniczne ataków zostaną udostępnione publicznie.
