Pwn2Own Berlin 2024, siber güvenlik dünyasının en prestijli etkinliklerinden biri olarak üç gün süren yoğun bir yarışmaya sahne oldu. TrendAI'nin Zero Day Initiative (ZDI) sponsorluğunda 14-16 Mayıs tarihleri arasında düzenlenen etkinlikte, güvenlik araştırmacıları toplam 47 sıfırıncı gün açığı keşfederek yaklaşık 1.3 milyon dolar ödül kazandı. Yarışmanın en büyük ödülü olan 505 bin doları ise Devcore ekibi kazanarak dikkatleri üzerine çekti.
Bu yılki Pwn2Own Berlin, özellikle kurumsal sistemlere odaklandı. Yarışmacılar, yapay zeka veritabanları, kodlama ajanları, yerel çıkarım araçları ve NVIDIA ürünlerini hedef aldı. Etkinlik boyunca keşfedilen tüm açıklar, sorumlu ifşa politikası gereği ilgili satıcılara bildirilecek ve 90 gün içinde güvenlik yamaları yayımlanması bekleniyor. Aksi halde ZDI, açıkları kamuoyuna duyuracak.
Yarışmanın öne çıkan anlarından biri, STARLabs SG'den Nguyen Hoang Thach'ın VMware ESXi'de bir bellek bozulması açığını kullanarak çapraz kiracı kod yürütme eklentisiyle sistemi ele geçirmesi oldu. Bu başarılı saldırı, araştırmacıya 200 bin dolar kazandırdı. Devcore Research Team'den splitline ise Microsoft SharePoint'te iki açığı birleştirerek 100 bin dolar ödül kazandı.
Önemli Gelişmeler
Devcore'un bir diğer üyesi Orange Tsai, Microsoft Exchange'de üç açığı birleştirerek sistem seviyesinde uzaktan kod yürütme başardı ve 200 bin dolar kazandı. Aynı araştırmacı, Microsoft Edge'de dört mantık hatasını birleştirerek sanal alan kaçışı gerçekleştirdi ve bu başarısıyla 175 bin dolar daha kazandı. Orange Tsai'nin toplam ödülü 375 bin dolara ulaştı.
Pwn2Own Berlin 2026, yapay zeka odaklı bir etkinlik olarak planlanıyor. Bu yılki etkinlikte AI veritabanları (Chroma, Postgres pgvector, Oracle Autonomous AI Database) ve kodlama ajanları (Cursor, Claude Code, OpenAI Codex) ilk kez hedef alındı. ZDI tehdit farkındalık başkanı Dustin Childs, 'vibe coding' araçlarının güvenliğine dikkat çekerek, başarılı bir girişimin kodlama ajanındaki bir açığı istismar etmesi gerektiğini belirtti.
Büyük dil modelleri (LLM) alanında Ollama, LiteLLM, LM Studio ve Llama.cpp gibi önemli isimler de etkinlikte yer aldı. NVIDIA tarafında ise yarışmacılar, Megatron Bridge, NV Container Toolkit ve Dynamo ürünlerini hedef alarak şanslarını denediler. Pwn2Own Berlin, her yıl olduğu gibi bu yıl da siber güvenlik topluluğuna önemli katkılar sağlayarak, açıkların kapatılmasına ve sistemlerin daha güvenli hale gelmesine yardımcı oldu.
Kaynak: infosecurity-magazine.com