Selon BleepingComputer, le concours de hacking Zeroday Cloud à Londres a décerné 320 000 $ à des chercheurs pour des démonstrations de vulnérabilités critiques d’exécution de code à distance (RCE) affectant des composants utilisés dans l’infrastructure cloud.

  • 🏆 Montant total des récompenses : 320 000 $.
  • 🔧 Type de vulnérabilité : RCE (Remote Code Execution).
  • ☁️ Périmètre touché : composants d’infrastructure cloud (non précisés dans l’extrait).

1) Contexte

  • La Zeroday Cloud hacking competition s’est tenue à Londres et constitue la première compétition de sécurité dédiée exclusivement aux systèmes cloud.
  • L’événement est organisé par Wiz Research, en partenariat avec Amazon Web Services (AWS), Microsoft et Google Cloud.
  • Objectif : encourager la recherche offensive responsable en identifiant des vulnérabilités zero-day critiques, notamment des failles de Remote Code Execution (RCE), dans des composants clés du cloud.

2) Résultats globaux

  • 320 000 USD attribués aux chercheurs
  • 11 vulnérabilités zero-day démontrées
  • 85 % de réussite sur 13 sessions de hacking
  • Vulnérabilités affectant des composants centraux de l’écosystème cloud

3) Vulnérabilités mises en évidence

Bases de données et observabilité

Des failles critiques ont été exploitées dans :

  • Redis
  • PostgreSQL
  • MariaDB
  • Grafana

👉 Ces technologies sont massivement utilisées pour stocker :

  • identifiants
  • secrets
  • données sensibles
  • informations d’infrastructure cloud

Noyau Linux et isolation cloud

  • Une faille d’évasion de conteneur (container escape) a permis :
    • de compromettre le noyau Linux
    • de briser l’isolation entre locataires cloud
  • Cette catégorie de vulnérabilité remet en cause un principe fondamental de sécurité du cloud : la séparation stricte entre tenants.

4) Intelligence artificielle : tentatives infructueuses

  • Des attaques visaient des composants IA modernes :
    • vLLM
    • Ollama
  • Objectif potentiel :
    • accès à des modèles privés
    • exposition de datasets
    • fuite de prompts sensibles
  • Aucune exploitation réussie, les équipes ayant manqué de temps.

➡️ Signal positif pour la résilience actuelle, mais le risque reste identifié.

5) Répartition des gains

Jour 1

  • 200 000 USD attribués
  • Exploits réussis sur :
    • Redis
    • PostgreSQL
    • Grafana
    • Linux kernel

Jour 2

  • 120 000 USD supplémentaires
  • Exploits sur :
    • Redis
    • PostgreSQL
    • MariaDB

6) Équipes récompensées

  • Team Xint Code :
    • exploitations réussies de Redis, PostgreSQL et MariaDB
    • 90 000 USD
    • couronnée championne de la compétition
  • Chercheurs des sociétés Zellic et DEVCORE :
    • 40 000 USD attribués

7) Cibles non compromises

Malgré un pool total de récompenses de 4,5 millions USD, plusieurs catégories n’ont vu aucune exploitation réussie :

  • Kubernetes
  • Docker
  • Web servers (Nginx, Apache Tomcat, Envoy, Caddy)
  • CI/CD & DevOps (Jenkins, GitLab CE, Apache Airflow)
  • IA & GPU :
    • Nvidia Container Toolkit
    • Ollama
    • vLLM

➡️ Cela souligne une résilience relative, mais aussi la complexité technique élevée de ces cibles.

8) Analyse et enseignements

  • Les bases de données cloud et le noyau Linux restent des surfaces d’attaque critiques.
  • Les failles de container escape confirment que l’isolation cloud n’est jamais absolue.
  • L’IA devient une nouvelle frontière offensive, même si elle n’a pas encore été franchie dans ce cadre.
  • Le faible montant distribué par rapport au prize pool total montre que :
    • l’exigence technique est très élevée
    • certaines couches cloud restent particulièrement robustes

🧠 À retenir

Cette compétition démontre que :

  • la recherche zero-day cloud est active et productive
  • les composants fondamentaux (DB, kernel) restent les plus exposés
  • l’IA et les plateformes cloud modernes sont désormais des cibles stratégiques prioritaires
  • les bug bounty et compétitions restent un levier clé de sécurité préventive pour l’écosystème cloud mondial

Article de presse spécialisé dont l’objectif est de relater les résultats d’un concours de hacking et la mise en évidence de vulnérabilités critiques.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/zeroday-cloud-hacking-event-awards-320-0000-for-11-zero-days/