Tianfu Cup 2021: Siber güvenlik araştırmacılarına 1,88 Milyon Dolar ödül dağıtıldı

Tianfu Cup 2021: Siber güvenlik araştırmacılarına 1,88 Milyon Dolar ödül dağıtıldı

Çin’in Chengdu şehrinde bu yıl dördüncüsü düzenlenen uluslararası siber güvenlik yarışması Tianfu Cup 2021 gerçekleştirildi. Yarışma kapsamında Windows 10, iOS 15, Google Chrome, Apple Safari, Microsoft Exchange Server ve Ubuntu 20’de bulunan zafiyetler başarılı bir şekilde istismar edildi.

Kazananlar Listesi

16-17 Ekim tarihlerinde Çin’in Chengdu şehrinde gerçekleştirilen iki günlük yarışma sonunda, güvenlik araştırmacılarına toplamda 1,88 Milyon Dolar ödül dağıtıldı. Yarışma kapsamında en fazla ödül miktarı 654.500 Dolar ile Çin merkezli siber güvenlik şirketi Kunlun Lab‘dan katılan araştırmacılar elde etti.

Bu yılın Temmuz ayında organizasyon ekibi tarafından bir dizi hedef listesi yayınlandı. Katılımcılara da istismarları hazırlayabilmeleri için üç-dört aylık bir süre verilip, organizasyon günü organizatörler tarafından sağlanan cihazlar üzerinde bu istismarları çalıştırmaları istenildi. Araştırmacılara kayıt oldukları kategoride yada kategorilerde, daha önce hazırladıkları istismarları çalıştırabilmeleri için üç defa denemek şartıyla 5 dakika verildi. Bu yıl belirlenen hedefler arasında:

— Windows 10 21H1 versiyonu üzerinde çalışan Google’a ait Chrome tarayıcısı
— MacOS üzerinde çalışan Apple’a ait Safari tarayıcısı
— Adobe PDF reader
— Ubuntu Server 20.04 çalıştıran bir sunucuda yüklü Docker-CE
— Lenovo L14 sistemi üzerine kurulu Ubuntu 20 ve CentOS 8,
— Microsoft Exchange 2019
— Windows 10
— VMware Workstation
— VMware ESXi
— Parallels Desktop
— iPhone 13 Pro
— Synology DS220j ağa bağlı depolama cihazı
— ASUS Router AX56U

ve diğer hedeflerle birlikte toplamda 16 tane yer alıyordu.

16 hedefin 13 tanesi başarılı bir şekilde istismar edildi

Başarılı bir şekilde istismar edilen ürün yada cihazlara yönelik liste şu şekilde:

— Windows 10 – 5 defa saldırıya uğradı
— Adobe PDF Reader – 4 defa saldırıya uğradı
— Ubuntu 20 – 4 defa saldırıya uğradı
— Parallels Desktop – 3 defa saldırıya uğradı
— iOS 15 – 3 defa saldırıya uğradı
— Safaris- 2 defa saldırıya uğradı
— Google Chrome – 2 defa saldırıya uğradı
— ASUS Router AX56U – 2 defa saldırıya uğradı
— Docker CE – 1 defa saldırıya uğradı
— VMWare ESXi – 1 defa saldırıya uğradı
— VMWare Workstation – 1 defa saldırıya uğradı
— qemu VM – 1 defa saldırıya uğradı
— Microsoft Exchange – 1 defa saldırıya uğradı

En çok dikkat çeken istismar iki istismar: iOS ve Chrome

Organizasyon kapsamında bulunan istismarların çoğu ayrıcalık yükseltme ve uzaktan yürütme ile ilgiliydi ancak bunlardan iki tanesi özellikle göze çarpıyordu.

Bunlardan bir tanesi en son çıkan iPhone serisi olan 13’te çalışan ve tamamen yamalı bir iOS 15’te çalışabilen zero-click açığı oldu. İkincisi ise Google Chrome’a ​​karşı bir uzaktan kod yürütme açığı oldu.

Çin Hükümeti’nin görünmeyen yasağı!!

Çin Hükümeti, ülkedeki siber güvenlik araştırmacılarının Pwn2Own gibi uluslararası organizasyonlara katılmasını önlemek için 2017 yılında Tianfu Cup’ı başlatmıştı. Daha önce Pwn2Own gibi organizasyonlara katılan ekipler tarafından doğrulanmasada, pek çok görüşe göre Çin Hükümeti’nin yasağından dolayı Çinli araştırmacılar yaklaşık 4 senedir uluslararası bu tarz organizasyonlara katılamıyor yada katılmıyor.

Bulunan güvenlik açıkları bildirilecek mi?

Bu kapsamda sorulabilecek belki de en önemli sorulardan biri de organizasyon kapsamında bulunan güvenlik açıkları şirketlere bildirilecek mi yada ilerleyen zamanlarda teknik detaylarıyla açıklanacak mı diye düşünülülebilir. Çünkü 2020’de gerçekleştirilen aynı organizasyon çerçevesinde iOS’a ait bir zaafiyet bulunmuş, bu zafiyetin ise daha sonra Pekin rejimi tarafından Uygur nüfusuna karşı yürütülen bir siber casusluk kampanyasında kullanıldığı keşfedilmişti.

Bunlar ilginizi çekebilir!

Romanya seçimleri: AB, TikTok'un verileri dondurmasını ve saklamasını emretti

Romanya seçimleri: AB, TikTok'un verileri dondurmasını ve saklamasını emretti

Avrupa Komisyonu, Romanya'da devam eden seçimler sırasında gizliliği kaldırılmış istihbarat belgelerinin ardından Dijital Hizmetler Yasası kapsamında TikTok'un verileri dondurmasını ve saklamasını emretti. Görevden ayrılan Cumhurbaşkanı Klaus Iohannis tarafından 28 Kasım 2024 tarihli toplantıda alınan karar doğrultusunda gizliliği kaldırılmış istihbarat belgeleri, 5 Aralık Çarşamba günü resmi olarak

By Editor
Suçlular tarafından kullanılan şifreli mesajlaşma servisi MATRIX kapatıldı

Suçlular tarafından kullanılan şifreli mesajlaşma servisi MATRIX kapatıldı

Suçlular tarafından kullanılan "karmaşık" bir şifreli mesaşlaşma servisi olan MATRIX, Fransız ve Hollandalı yetkililerin yer aldığı ortak bir soruşturma ekibi tarafından çökertildi. Europol tarafından verilen bilgilere göre MATRIX adı verilen ve suçlular için oluşturulan mesajlaşma servisi, ilk olarak 2021 yılında Hollandalı bir gazetecinin öldürülmesinden hüküm giymiş bir suçlunun

By Editor