Pwn2Own уничтожает иллюзии: корпоративные системы взломаны за $695 000 и 20 уязвимостей за два дня

На хакерском состязании Pwn2Own Berlin 2025 всего за двое суток исследователи безопасности показали, насколько уязвимы самые надежные на вид корпоративные системы. 20 уникальных эксплойтов — от атак на Microsoft SharePoint до полного выхода из виртуальной машины в Oracle VirtualBox — принесли участникам почти $700 000, оставив после себя разрушенное доверие к ведущему ПО.

Самый дорогой взлом второго дня — $150 000 — получил исследователь Нгуен Хоанг Тхак за успешную атаку на VMware ESXi через переполнение целого числа. Это событие стало тревожным сигналом для всех, кто полагается на виртуализацию в защите инфраструктуры.

Не менее показательной стала работа Диня Хо Ань Кхоа из Viettel Cyber Security: он показал цепочку уязвимостей в Microsoft SharePoint, сочетающую обход аутентификации и небезопасную десериализацию. Награда — $100 000 — отражает критичность угрозы.

Особое внимание привлекла и новая категория атак на ИИ-инфраструктуру. Команда Wiz Research использовала эксплойт use-after-free в Redis, а Qrious Secure продемонстрировала сложнейшую атаку на сервер Nvidia Triton, объединяющую сразу четыре уязвимости. Это первый случай, когда на Pwn2Own взламывали системы, связанные с инференсом и машинным обучением.

Pwn2Own 2025 показал: современные средства защиты устаревают быстрее, чем их успевают обновить. А хакеры больше не бьют в лоб — они используют точные, цепные и тихие атаки.