(https://www.bleepstatic.com/content/hl-images/2025/10/06/logo.jpg)
Una nueva competencia de hacking llamada Zeroday Cloud, centrada en herramientas de código abierto en la nube e IA, anunció un premio total de 4,5 millones de dólares en recompensas por errores para investigadores que presenten exploits para diversos objetivos.
El concurso, lanzado por la división de investigación de la empresa de seguridad en la nube Wiz, en colaboración con Google Cloud, AWS y Microsoft, está programado para el 10 y 11 de diciembre en la conferencia Black Hat Europe en Londres, Reino Unido.
Zeroday Cloud ofrece seis categorías distintas en las que los investigadores pueden participar, con recompensas por errores de entre 10 000 y 300 000 $:
IA: Ollama (25 000 $), Vllm (25 000 $), Nvidia Container Toolkit (40 000 $).
Kubernetes y nativo de la nube: Servidor API de Kubernetes (80 000 $), Servidor Kubelet (40 000 $), Grafana (10 000 $ RCE de autenticación, 40 000 $ RCE de preautorización), Prometheus (40 000 $), Fluent Bit (10 000 $).
Contenedores y virtualización: Docker (40 000 $ imagen proporcionada por el usuario, 60 000 $ imagen arbitraria), Containerd (40 000 $ imagen proporcionada por el usuario, 60 000 $ imagen arbitraria), Kernel de Linux (30 000 $ escape de contenedor en Ubuntu).
Servidores web: Nginx (300 000 $), Apache Tomcat (100 000 $), Envoy (50 000 $), Caddy (50 000 $).
Bases de datos: Redis (25 000 $). RCE de autenticación, RCE de preautorización de $100,000), PostgreSQL ($20,000 RCE de autenticación, $100,000 RCE de preautorización), MariaDB ($20,000 RCE de autenticación, $100,000 RCE de preautorización).
DevOps y automatización: Apache Airflow ($40,000), Jenkins ($40,000), GitLab CE ($40,000).
Las bases del concurso establecen que los exploits presentados deben comprometer completamente el objetivo. Wiz explica que esto implica "una vulnerabilidad de escape de contenedor/máquina virtual (VM) completa para la categoría de virtualización y una vulnerabilidad de ejecución remota de código (RCE) sin clics para los demás objetivos".
Los organizadores también proporcionan las condiciones para cada objetivo, así como las instrucciones y los recursos técnicos (contenedor Docker con el objetivo configurado por defecto) que los investigadores de seguridad pueden utilizar para probar sus exploits.
Los investigadores que se registren a través de la plataforma HackerOne y completen su verificación de identidad y formularios de impuestos antes del 20 de noviembre podrán enviar exploits para tantos objetivos como deseen, pero el límite es de una sola participación por objetivo.
Quienes presenten exploits aprobados serán invitados a demostrarlos en vivo durante el evento, ya sea individualmente o en equipos de hasta cinco miembros.
Las personas residentes en países embargados o sancionados, como Rusia, China, Irán, Corea del Norte, Cuba, Sudán, Siria, Libia, Líbano y las regiones de Crimea y Donetsk, tienen prohibido participar en el concurso Zeroday Cloud.
Las bases completas del concurso de hacking zeroday.cloud están disponibles aquí:
https://www.zeroday.cloud/rules
Sin embargo, el anuncio del evento no tuvo buena acogida entre los organizadores de los concursos de hacking Pwn2Own, que se han celebrado con gran éxito durante varios años.
En una publicación pública, Trend Micro denunció a Wiz por copiar las bases de Pwn2Own Ireland. Juan Pablo Castro, Director de Estrategia y Tecnología de Ciberseguridad de Trend Micro, afirmó que el resultado de Gemini al comparar las reglas de ambos eventos era una copia literal.
Wiz respondió con una declaración discreta, admitiendo que el reglamento Pwn2Own era "un marco confiable y maduro en el que nos inspiramos".
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/zeroday-cloud-hacking-contest-offers-45-million-in-bounties/