Ajang Zeroday Cloud Beri Hadiah $320.000 untuk 11 Celah Zero-Day

Kompetisi peretasan Zeroday Cloud yang digelar di London berhasil memberikan total hadiah sebesar $320.000 kepada para peneliti keamanan siber yang mendemonstrasikan kerentanan kritis remote code execution pada komponen penting infrastruktur cloud. Acara ini menjadi kompetisi peretasan pertama yang secara khusus berfokus pada sistem cloud.

Zeroday Cloud diselenggarakan oleh Wiz Research dengan dukungan sejumlah raksasa teknologi, termasuk Amazon Web Services, Microsoft, dan Google Cloud. Dalam ajang ini, para peserta mencatat tingkat keberhasilan hingga 85 persen dari total 13 sesi peretasan, dengan total 11 kerentanan zero-day berhasil diungkap.

Ringkasan resmi acara menyebutkan bahwa pada hari pertama kompetisi, hadiah sebesar $200.000 diberikan atas keberhasilan eksploitasi celah keamanan pada Redis, PostgreSQL, Grafana, serta kernel Linux. Temuan ini menyoroti risiko serius pada komponen yang banyak digunakan dalam lingkungan cloud modern.

Pada hari kedua, para peneliti kembali mengamankan hadiah senilai $120.000 setelah berhasil menunjukkan eksploitasi pada Redis, PostgreSQL, dan MariaDB. Ketiga basis data tersebut merupakan fondasi utama penyimpanan informasi sensitif di sistem cloud, termasuk kredensial, secret, dan data pengguna bernilai tinggi.

Salah satu temuan paling signifikan dalam kompetisi ini adalah keberhasilan mengeksploitasi kernel Linux melalui celah container escape. Kerentanan tersebut memungkinkan penyerang menembus isolasi antar-tenant di lingkungan cloud, yang selama ini menjadi jaminan utama keamanan komputasi awan.

Peneliti dari perusahaan keamanan siber Zellic dan DEVCORE masing-masing memperoleh total hadiah $40.000 atas kontribusi mereka dalam mengungkap celah-celah kritis tersebut. Sementara itu, Team CCC tercatat menerima pembayaran bounty tunggal tertinggi selama kompetisi berlangsung.

Topik kecerdasan buatan juga menjadi sasaran dalam ajang ini. Upaya peretasan diarahkan pada model vLLM dan Ollama, yang berpotensi membuka akses ke model AI privat, dataset, serta prompt sensitif. Namun, kedua percobaan tersebut tidak berhasil diselesaikan karena keterbatasan waktu.

Pada akhir kompetisi Zeroday Cloud perdana ini, Team Xint Code dinobatkan sebagai juara setelah sukses mengeksploitasi Redis, MariaDB, dan PostgreSQL. Atas tiga eksploitasi tersebut, tim ini membawa pulang hadiah sebesar $90.000.

Meski hasil kompetisi dinilai positif, total hadiah yang dibagikan masih tergolong kecil dibandingkan keseluruhan prize pool senilai $4,5 juta yang disediakan bagi peneliti yang mampu mendemonstrasikan eksploitasi pada berbagai target. Sejumlah kategori dan produk tidak mengalami eksploitasi sama sekali, termasuk teknologi AI tertentu, Kubernetes, Docker, berbagai web server populer, Apache Airflow, Jenkins, serta GitLab Community Edition.