Siber Güvenlik

Saldırganlar Pwn2Own’da VMware ESXi ve Microsoft SharePoint sıfır günlerini kullandı.

teknomers
teknomers

Pwn2Own Berlin 2025: İkinci Günü ve Elde Edilen Başarılar

Pwn2Own Berlin 2025, dünyanın önde gelen güvelik araştırmacılarının becerilerini sergilediği önemli bir etkinliktir. Bu yılki organizasyon, 15-17 Mayıs tarihlerinde OffensiveCon konferansının bir parçası olarak gerçekleştirildi. Birinci ve ikinci günlerde, katılımcılar sıfırıncı gün hatalarını (zero-day bugs) başarıyla istismar ederek toplamda $695,000 kazandılar.

Contents

Başarılı İstismarlar ve Para Ödülleri

Pwn2Own Berlin’de ikinci gün, güvenlik araştırmacıları için oldukça verimli geçti. Yarışmacılar, $435,000 kazandılar ve bunun büyük bir kısmı aşağıdaki başarılı istismarlar ile elde edildi:

  • Nguyen Hoang Thach isimli araştırmacı, STARLabs SG adına VMware ESXi üzerinde bir tamsayı taşma (integer overflow) hatasını istismar ederek $150,000 ödül kazandı.
  • Dinh Ho Anh Khoa ise Viettel Cyber Security adına Microsoft SharePoint’i hackleyerek, bir yetkilendirme atlama (auth bypass) ile güvensiz serileştirme (insecure deserialization) kombinasyonu kullanarak $100,000 kazandı.
  • Edouard Bochin ve Tao Yan isimli Palo Alto Networks araştırmacıları, Mozilla Firefox üzerindeki bir kontrol dışı yazma (out-of-bounds write) sıfırıncı gün hatasını başarıyla gösterdiler.
  • Gerrard Tai ise STAR Labs SG adına, Red Hat Enterprise Linux üzerinde bir kullanımdan sonra serbest bırakma (use-after-free) hatası sayesinde root yetkilerini yükseltti.
  • Viettel Cyber Security, Oracle VirtualBox için başka bir kontrol dışı yazma ile misafirden ev sahibi kaçışı (guest-to-host escape) gerçekleştirdi.

Yapay Zeka Kategorisi ve Yenilikler

Bu yılki Pwn2Own’da yapay zeka kategorisi ilk kez tanıtıldı. Bu kategoride, Wiz Research güvenlik araştırmacıları bir kullanımdan sonra serbest bırakma (use-after-free) sıfırıncı gün hatasını kullanarak Redis’i hacklediler. Ayrıca, Qrious Secure, Nvidia’nın Triton Inference Server ürününde dört güvenlik açığını birleştirerek başarılı bir saldırı gerçekleştirdi.

Bu yenilik, yarışmanın kapsamını genişletmekle kalmayıp, aynı zamanda yapay zeka güvenliği üzerine daha fazla dikkat çekmiştir. Katılımcılar, yapay zeka sistemlerine yönelik potansiyel tehditleri tespit etmek ve bu alandaki güvenlik açıklarını ortaya koymak için yarıştı.

Pwn2Own Berlin: Birinci Günün Başarıları

Pwn2Own Berlin’in birinci günü de oldukça dikkat çekiciydi. Katılımcılar bu günde de $260,000 ödül kazandılar. Elde edilen başarılar arasında, Microsoft’un Windows 11, Red Hat Linux ve Oracle VirtualBox üzerindeki sıfırıncı gün hataları yer aldı. Bu başarılar, toplamda 20 benzersiz sıfırıncı gün açığının sergilendiğini gösterdi.

Bu tür etkinlikler, güvenlik açıklarının hızla tespit edilip kapatılması adına büyük önem arz etmektedir. Katılımcıların bulduğu istismarlar, ilgili firmalar tarafından yapılacak güncellemeler ile cihaz güvenliğini artırmayı hedefler.

Pwn2Own’da Gelecek Hedefler

Pwn2Own Berlin’in son gününde, katılımcılar Windows 11, Oracle VirtualBox, VMware ESXi, VMware Workstation ve Mozilla Firefox gibi ürünlerde yeni sıfırıncı gün hatalarını istismar etmeye çalışacak. Ayrıca Nvidia’nın Triton Inference Server ve Container Toolkit ürünleri de bu saldırıların hedefi olacak.

Etkinlik sonrası, sıfırıncı gün istismarları ifşa edildikten sonra, üreticilerin bu açıkları kapatmaları için toplam 90 gün süresi olacak. Bu süre zarfında, Trend Micro’nun Zero Day Initiative isimli programı, teknik detayları paylaşacaktır.

Pwn2Own’un Önemi ve Geleceği

Pwn2Own, her yıl güvenlik araştırmacılarının yeni teknikler öğrenmesi ve yeni açıkları keşfetmesi adına önemli bir platform sağlamaktadır. Özellikle, etkinlik sırasında kazanan araştırmacılar, sıfırıncı gün ürünlerini istismar etme konusunda yeni stratejiler geliştirmekte ve böylece yazılım güvenliği alanına katkıda bulunmaktadırlar.

Bu tür organizasyonların artması, teknoloji firmaları için daha fazla güvenlik önlemi almalarını tetiklemekte ve yazılımlarını daha güvenli hale getirmeleri için bir teşvik oluşturmaktadır. Pwn2Own, sadece sahadaki açıkların keşfedilmesini sağlamakla kalmaz, aynı zamanda bu bilgilerin çoğaltılması ve yayılmasını da teşvik eder.

Kısacası, Pwn2Own Berlin 2025, güvenlik araştırmacılarını bir araya getirerek hem eğlenceli hem de öğretici bir ortam sunmaktadır.

Güncel Siber Güvenlik Haberleri – 2

Kuzey Koreli Hackerlar, OtterCookie Malware’i Yaymak için 197 npm Paketi Dağıttı
GlobalProtect VPN: 2.3 Milyon Tarama Oturumu ile Saldırı Altında!
Birleşmiş Milletler Kuzey Kore’deki Toplam 3 Milyar Dolarlık Kripto Siber Saldırılarını Araştırıyor
Radarın Altında Kalmak için Güncel Teknikleri Kullanan Yeni SolarMarker Kötü Amaçlı Yazılım Varyantı
Microsoft, OpenAI’nin yeni açık modelini Windows’ta kullanıma sundu.
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale NJ Transit çalışanları, maaş artışı görüşmeleri tıkanınca greve gitti.
Sonraki Makale Pentagon sessiz, hava uzmanları Trump’ın uçak yorumlarına şaşırdı.

Sanal Medya

Son Eklenenler

Mira Murati Yeniden Sahneye Çıkıyor
Genel
HP, RTX 5080 oyun PC’sinde 2.600 $ indirim yaptı!
Donanım
$559 Nvidia RTX 5070 GPU, en uygun fiyatla 1440p oyun sunuyor
Donanım
Laravel’de Carbon (MultiCarbon) ile Jalali ve Hijri Tarihleri
Yazılım
DDR4 bellek ve anakart üretimi yeniden başlıyor, DDR5’siz geleceğe hazırlık
Donanım
AI token maliyetleri büyük bir sorun haline geliyor, OpenAI çözümler arıyor
Donanım