黑客大赛Pwn2Own 2025 柏林站结束 研究人员利用多个零日漏洞获得107万美元奖励
山外的鸭子哥
知名黑客大赛 Pwn2Own 2025 年柏林站早前落下帷幕,在此次黑客大赛上网络安全研究人员成功利用多个零日漏洞从开发商 / 制造商那里获得 1,078,750 美元的漏洞奖金。
在此次黑客大赛中,研究人员将目标瞄准人工智能、网络浏览器、虚拟化、本地权限提升、服务器、企业应用程序、云原生 / 容器和汽车类别的企业技术,根据比赛规则,所有目标设备都已经安装最新版操作系统并附带最新的安全更新。
上图为各个团队的总奖金排名
在比赛首日研究人员就利用漏洞获得 26 万美元的现金奖励,第二日研究人员利用 20 个零日漏洞获得 43.5 万美元现金奖励,到比赛第三日研究人员利用 8 个零日漏洞获得 38.375 万美元的奖励。
在研究人员展示利用漏洞完成入侵后,相关设备的软件开发商或硬件制造商有 90 天时间发布更新进行修复,到期后研究人员就可以披露漏洞细节,不过如果是非常复杂的漏洞难以修复,则供应商可以与研究人员协商延迟漏洞细节的发布。
此次黑客大赛中单笔漏洞奖金最高的是 15 万美元,来自 STAR Labs 实验室的研究人员 Nguyen Hoang Thach 利用整数溢出漏洞成功破解 VMware ESXi 虚拟机管理程序,博通为此提供 15 万美元的奖金。
Viettel 网络安全团队是此次黑客大赛中获得单个漏洞奖金排名第二的团队,该团队利用零日漏洞从 Oracle VirtualBox 客户机中逃逸并攻击宿主系统,然后利用身份验证绕过和不安全的反系列化漏洞链攻击 Microsoft SharePoint。
排名第三的是 Reverse Tactics 团队,该团队同样利用整数溢出和未初始化变量错误的漏洞攻击 VMware 虚拟机管理程序,最终获得 11.2 万美元。
此次黑客大赛中 Mozilla Firefox 浏览器还被发现两个零日漏洞,目前谋智基金会已经发布 Firefox v138.0.4、Firefox ESR 128.10.1、Firefox ESR 115.23.1 和 Firefox for Android 最新版封堵漏洞 (CVE-2025-4918/4919)。
![赞比亚中央银行遭勒索软件攻击 然后告诉黑客我们不会使用[男性生殖器]回应你们](https://img.lancdn.com/landian/2022/05/93927T.png)