29 дыр, миллион долларов и ни одной попытки взломать Tesla — как прошёл Pwn2Own 2025
Хакеры за три дня вскрыли то, что защищали годами.
В Берлине завершилось соревнование Pwn2Own 2025, ставшее одной из самых значимых демонстраций уязвимостей нулевого дня в корпоративных технологиях. За три дня участники заработали в общей сложности 1 078 750 долларов, продемонстрировав 29 уязвимостей и зафиксировав несколько случаев пересечения багов между командами.
Традиционно в рамках конкурса атакуются только полностью обновлённые устройства с актуальными версиями операционных систем. В этом году в числе целевых категорий оказались ИИ-системы, браузеры, решения для виртуализации, повышения привилегий, серверы, облачные и контейнерные платформы, а также автомобильное программное обеспечение. Несмотря на то что Tesla предоставила стенды с моделями Tesla Model Y 2025 и Model 3 2024 года, попыток атак на эти устройства зарегистрировано не было.
Уже в первый день участники получили 260 000 долларов за успешные демонстрации. Во второй день сумма призов выросла до 435 000 долларов после обнаружения 20 уязвимостей. Заключительный день добавил ещё 383 750 долларов за восемь новых уязвимостей, включая сложные цепочки атак. По правилам организаторов, производители получают 90 дней на устранение уязвимостей, после чего сведения о них становятся общедоступными.
Победителем конкурса стала команда STAR Labs SG, набравшая 35 очков и заработавшая 320 000 долларов. В течение трёх дней участники этой команды успешно продемонстрировали взломы Red Hat Enterprise Linux, Docker Desktop, Windows 11, гипервизора VMware ESXi и Oracle VirtualBox. Наибольший приз в размере 150 000 долларов достался участнику Нгуену Хоангу Тхаку за эксплойт, основанный на переполнении целого числа в VMware ESXi.
Итоговый рейтинг Pwn2Own Berlin 2025 (ZDI)
Второе место заняла команда Viettel Cyber Security. Её участники показали уязвимости, позволяющие выйти из гостевой системы Oracle VirtualBox на хост, а также использовать связку атак, включающую обход авторизации и небезопасную десериализацию, для взлома Microsoft SharePoint.
На третьем месте оказалась команда Reverse Tactics, продемонстрировавшая цепочку уязвимостей в VMware ESXi, включающую переполнение и использование неинициализированной переменной. Это позволило заработать 112 500 долларов в последний день соревнования.
Компания Mozilla уже выпустила экстренные обновления для браузеров Firefox и Firefox ESR, устранив две нулевые уязвимости, продемонстрированные в рамках конкурса (CVE-2025-4918 и CVE-2025-4919). Обновления вышли в версиях Firefox 138.0.4, ESR 128.10.1, ESR 115.23.1, а также в Android-версии браузера.