Pwn2Own Berlin 2025 Hacking Yarışması Sonuçları
Pwn2Own Berlin 2025 hacking yarışması, siber güvenlik alanında önemli bir etkinlik olarak sona erdi. Bu yıl, güvenlik araştırmacıları 1,078,750 dolar ödül kazandı ve 29 tane sıfır gün açığı keşfetmenin yanı sıra bazı hata çakışmalarıyla karşılaştılar. Tüm bunlar, günümüzdeki teknolojik sistemlerin ne kadar savunmasız olduğunu bir kez daha gözler önüne serdi.
Kurallar ve Hedefler
Yarışma boyunca, katılımcılar çeşitli kurumsal teknolojileri hedef aldı. Bu kategoriler arasında yapay zeka, web tarayıcıları, sanallaştırma, yerel ayrıcalık yükseltme, sunucular, kurumsal uygulamalar, bulut-native/konteyner ve otomotiv teknolojileri yer aldı. Pwn2Own’un kurallarına göre, hedef alınan tüm cihazlarda en son güvenlik güncellemeleri yüklüydü ve en güncel işletim sistemi sürümleri çalıştırılıyordu.
Özellikle Tesla, iki adet 2025 Tesla Model Y ve 2024 Tesla Model 3 test cihazı sağladı. Ancak, güvenlik araştırmacıları bu kategoriye yönelik herhangi bir deneme kaydetmediler. Bu durum, yarışmanın ne kadar hazırlık ve dikkat gerektirdiğini göstermektedir.
Ödüller ve Günlük Kazançlar
Yarışmanın ilk gününde katılımcılar 260,000 dolar ödül kazandılar. İkinci gün ise kazanç bu miktarın üzerine çıkarak 435,000 dolara ulaştı. İkinci gün, toplamda 20 sıfır gün açığı exploit edildi. Üçüncü gün, ek olarak 8 tane daha sıfır gün açığı keşfeden katılımcılar 383,750 dolar daha kazandı. Bu toplam ödül miktarları, araştırmacıların ne denli yetenekli ve bilgi sahibi olduklarını gözler önüne seriyor.
Yarışma sonucunda, herhangi bir sıfır gün açığı demo edildikten sonra, ilgili satıcılar 90 gün içinde güvenlik güncellemelerini yayınlamak zorundadırlar. TrendMicro’nun Zero Day Initiative programı, bu açığı kamuoyuna açıklamadan önce satıcılara bir fırsat vermektedir.
Pwn2Own Berlin 2025 Şampiyonu: STAR Labs SG
STAR Labs SG ekibi, bu yılki Pwn2Own Berlin yarışmasının şampiyonu oldu. Üç gün boyunca kazandıkları 35 Master of Pwn puanı ve toplamda 320,000 dolar ile başarılarına başarı kattılar. Bu ekip, Red Hat Enterprise Linux, Docker Desktop, Windows 11, VMware ESXi ve Oracle VirtualBox gibi önemli sistemleri hackleyerek bu başarıyı elde etti.
STAR Labs’tan Nguyen Hoang Thach, VMware ESXi hypervisor yazılımını hackleyerek yarışmanın en yüksek ödülü olan 150,000 doları kazandı. Bu başarı, bir tam sayı taşması açığı kullanılarak gerçekleştirildi ve araştırmacının yeteneğini bir kez daha kanıtladı.
Diğer Başarılı Ekipler
Takım Viettel Cyber Security, bir diğer başarılı ekip olarak ikinci sırayı aldı. Bu ekip, Oracle VirtualBox kullanıcılarından host sistemine geçiş yapmayı sağlayan sıfır gün açıklarını sergiledi. Ayrıca, Microsoft SharePoint’i hackleyerek bir exploit zinciri oluşturmayı başardılar. Bu zincir, bir yetki aşaması ve güvensiz bir serileştirmeyi birleştiriyordu.
Üçüncü günde, Reverse Tactics takımı da VMware’ın hypervisor yazılımını hackleyerek üçüncü sırayı elde etti. Bu ekip, bir tam sayı taşması ve başlatılmamış bir değişken açığı kullanarak 112,500 dolar ödül kazandı.
Mozilla’dan Hızlı Güncellemeler
Yarışmanın ardından, Mozilla iki Firefox sıfır gün açığını (CVE-2025-4918 ve CVE-2025-4919) hızla çözdü. Weekend boyunca Firefox 138.0.4, Firefox ESR 128.10.1, Firefox ESR 115.23.1 ve yeni bir Firefox for Android sürümü yayınlayarak bu açıkları kapattı. Bu, Mozilla’nın güvenlik konusundaki ciddiyetini ve kullanıcılarının güvenliğini önceliklendirdiğini göstermektedir. Geçmişte, Mart 2024’te de Firefox’ta iki sıfır gün açığı düzeltimişti.
Bu bilgilerin ışığında, Pwn2Own Berlin 2025 yarışması, siber güvenlik alanında önemli bir olay olarak kayıtlara geçti ve teknoloji dünyasında siber güvenlik tehditlerine karşı sürekli bir direnç geliştirilmesi gerektiğini bir kez daha gözler önüne serdi.
