ال Zeroday.cloud قد تكون المنافسة قد انتهت، ولكن السباق قد بدأ للتو.

استضافت Wiz Research الأسبوع الماضي في لندن مسابقة القرصنة السحابية الأولى من نوعها بالشراكة مع AWS، وMicrosoft، وGoogle Cloud. على مدى يومين، اجتمع كبار الباحثين في العالم معًا لاختبار أمان التقنيات مفتوحة المصدر التي تعمل على تشغيل البنية التحتية السحابية والذكاء الاصطناعي الحديثة.

الخلاصة: يعمل الذكاء الاصطناعي على تسريع عملية اكتشاف الثغرات الأمنية لكل من المدافعين والمهاجمين، مما يبشر بعصر جديد من الأيام الصفرية.

النتائج

في غضون يومين فقط، اكتشف الباحثون ثغرات أمنية خطيرة في تنفيذ التعليمات البرمجية عن بعد (RCE) عبر الطبقات الأساسية للبنية التحتية السحابية. لقد حصلوا على مكافآت بقيمة 320 ألف دولار وحققوا معدل نجاح بنسبة 85 بالمائة في جميع محاولات القرصنة المباشرة.

في المجمل، أنتج هذا الحدث ما يعتبر حتى الآن واحدًا من أعلى عدد من عمليات مكافحة التطرف العنيف التي تم الكشف عنها علنًا تؤثر بشكل خاص على المكونات الأساسية مفتوحة المصدر المستخدمة في البنية التحتية السحابية المهمة – بدءًا من قواعد البيانات وحتى أوقات تشغيل الحاويات. تكشف هذه النتائج عمق أسطح الهجوم الحديثة وأهمية البحث الدفاعي المركز.

أظهر الباحثون ثغرات أمنية في قواعد البيانات الأكثر شهرة في العالم: Redis، وPostgreSQL، وMariaDB – وهي نفس الخزائن التي تخزن فيها السحابة معلوماتها الأكثر أهمية.

يتيح RCE هنا للمهاجمين استهداف أي تطبيق مبني فوقهم، من مواقع الويب إلى تطبيقات الهاتف المحمول، والاستيلاء على “مفاتيح المملكة”. وهذا يمنح الوصول غير المصرح به إلى كل جزء من البيانات الأساسية، بما في ذلك معلومات المستخدم وكلمات المرور والأسرار ومعلومات تحديد الهوية الشخصية الحساسة.

أخطر استغلال استهدف أساس السحابة نفسها: نظام التشغيل Linux

نظام التشغيل. تسمح الثغرة الأمنية بـContainer Escape، مما يمكّن المهاجمين غالبًا من الخروج من خدمة سحابية معزولة، مخصصة لمستخدم واحد محدد، والانتشار إلى البنية التحتية الأساسية التي تدير جميع المستخدمين. وهذا ينتهك الوعد الأساسي للحوسبة السحابية: وهو ضمان بقاء العملاء المختلفين الذين يعملون على نفس الأجهزة منفصلين ولا يمكن لبعضهم البعض الوصول إليهم. وهذا يعزز أيضًا أن الحاويات لا ينبغي أن تكون الحاجز الأمني ​​الوحيد في البيئات متعددة المستأجرين.

حاول الباحثون أيضًا إظهار ثغرات vLLM وOllama، وهي المعايير الفعلية لتشغيل نماذج الذكاء الاصطناعي مفتوحة المصدر. كانت إحدى عمليات الاستغلال ستسمح للمهاجمين بالوصول المباشر إلى أدوات الذكاء الاصطناعي الخاصة بالمؤسسات الكبرى، بما في ذلك النماذج ومجموعات البيانات والمطالبات. إلا أن محاولات الباحثين باءت بالفشل في الوقت المحدد.

الوجبات الجاهزة

أصبحت البنية التحتية السحابية والذكاء الاصطناعي الآن جزءًا مباشرًا من سطح الهجوم الحديث. وكما أوضح موقع Zeroday.cloud، فإن السباق مستمر. يستخدم المهاجمون والمدافعون على حد سواء الذكاء الاصطناعي لاكتشاف نقاط الضعف بشكل أسرع من أي وقت مضى، مما يحول ما كان يستغرق أشهرًا إلى بضع ساعات. إن البقاء في المقدمة يعني مطابقة تلك السرعة، بنفس الإلحاح والابتكار الذي يقود التقنيات التي نحاول حمايتها. أثبت التحقق السريع والدعم من مشرفي المشروع وشركائنا السحابيين أن الصناعة مستعدة لمعالجة هذه التهديدات معًا.

خلف كواليس اليوم الأول: تم منح إجمالي 200,000 دولار أمريكي

ريديس: يوني شيريز – ناجح – حصل على 30 ألف دولار

بوستجري إس كيو إل: دانيال فيرير – ناجح – حصل على 30 ألف دولار

جرافانا: فريق Bugz Bunnies (Paul Gerste & Moritz Sanft) – ناجح – حصل على 10000 دولار (RCE موثق)

ريديس: إميل ليرنر – ناجح – حصل على 30 ألف دولار

بوستجري إس كيو إل: رمز فريق Xint – ناجح – جائزة بقيمة 30.000 دولار

ريديس: فريق كلب التزلج – ناجح – جائزة بقيمة 30.000 دولار

نواة لينكس: فريق CCC (Faith from Zellic & Pumpkin من فريق أبحاث DEVCORE) – ناجح – جائزة بقيمة 40.000 دولار

خلف كواليس اليوم الثاني: تم منح إجمالي 120,000 دولار أمريكي

ريديس: دانيال فيرير – ناجح – حصل على 30 ألف دولار

بوستجري إس كيو إل: فريق Bugz Bunnies (بول جيرست وموريتز سانفت) – ناجح – حصل على 30 ألف دولار

ريديس: رمز فريق Xint – ناجح – جائزة بقيمة 30.000 دولار

vLLM: بوهدان إيفانينكو – تم تجاوز الحد الزمني

ماريا دي بي: رمز فريق Xint – ناجح – جائزة بقيمة 30.000 دولار

أولاما: فريق Bugz Bunnies (بول جيرست وموريتز سانفت) – تم تجاوز الحد الزمني

توج فريق Xint Code بطل Zeroday.cloud

شاركها.
اترك تعليقاً