Çin’in Chengdu şehrinde bu yıl dördüncüsü düzenlenen uluslararası siber güvenlik yarışması Tianfu Cup 2021 gerçekleştirildi. Yarışma kapsamında Windows 10, iOS 15, Google Chrome, Apple Safari, Microsoft Exchange Server ve Ubuntu 20’de bulunan zafiyetler başarılı bir şekilde istismar edildi.
16-17 Ekim tarihlerinde Çin’in Chengdu şehrinde gerçekleştirilen iki günlük yarışma sonunda, güvenlik araştırmacılarına toplamda 1,88 Milyon Dolar ödül dağıtıldı. Yarışma kapsamında en fazla ödül miktarı 654.500 Dolar ile Çin merkezli siber güvenlik şirketi Kunlun Lab‘dan katılan araştırmacılar elde etti.
Bu yılın Temmuz ayında organizasyon ekibi tarafından bir dizi hedef listesi yayınlandı. Katılımcılara da istismarları hazırlayabilmeleri için üç-dört aylık bir süre verilip, organizasyon günü organizatörler tarafından sağlanan cihazlar üzerinde bu istismarları çalıştırmaları istenildi. Araştırmacılara kayıt oldukları kategoride yada kategorilerde, daha önce hazırladıkları istismarları çalıştırabilmeleri için üç defa denemek şartıyla 5 dakika verildi. Bu yıl belirlenen hedefler arasında:
— Windows 10 21H1 versiyonu üzerinde çalışan Google’a ait Chrome tarayıcısı
— MacOS üzerinde çalışan Apple’a ait Safari tarayıcısı
— Adobe PDF reader
— Ubuntu Server 20.04 çalıştıran bir sunucuda yüklü Docker-CE
— Lenovo L14 sistemi üzerine kurulu Ubuntu 20 ve CentOS 8,
— Microsoft Exchange 2019
— Windows 10
— VMware Workstation
— VMware ESXi
— Parallels Desktop
— iPhone 13 Pro
— Synology DS220j ağa bağlı depolama cihazı
— ASUS Router AX56U
ve diğer hedeflerle birlikte toplamda 16 tane yer alıyordu.
16 hedefin 13 tanesi başarılı bir şekilde istismar edildi
Başarılı bir şekilde istismar edilen ürün yada cihazlara yönelik liste şu şekilde:
— Windows 10 – 5 defa saldırıya uğradı
— Adobe PDF Reader – 4 defa saldırıya uğradı
— Ubuntu 20 – 4 defa saldırıya uğradı
— Parallels Desktop – 3 defa saldırıya uğradı
— iOS 15 – 3 defa saldırıya uğradı
— Safaris- 2 defa saldırıya uğradı
— Google Chrome – 2 defa saldırıya uğradı
— ASUS Router AX56U – 2 defa saldırıya uğradı
— Docker CE – 1 defa saldırıya uğradı
— VMWare ESXi – 1 defa saldırıya uğradı
— VMWare Workstation – 1 defa saldırıya uğradı
— qemu VM – 1 defa saldırıya uğradı
— Microsoft Exchange – 1 defa saldırıya uğradı
En çok dikkat çeken istismar iki istismar: iOS ve Chrome
Organizasyon kapsamında bulunan istismarların çoğu ayrıcalık yükseltme ve uzaktan yürütme ile ilgiliydi ancak bunlardan iki tanesi özellikle göze çarpıyordu.
Bunlardan bir tanesi en son çıkan iPhone serisi olan 13’te çalışan ve tamamen yamalı bir iOS 15’te çalışabilen zero-click açığı oldu. İkincisi ise Google Chrome’a karşı bir uzaktan kod yürütme açığı oldu.
Çin Hükümeti’nin görünmeyen yasağı!!
Çin Hükümeti, ülkedeki siber güvenlik araştırmacılarının Pwn2Own gibi uluslararası organizasyonlara katılmasını önlemek için 2017 yılında Tianfu Cup’ı başlatmıştı. Daha önce Pwn2Own gibi organizasyonlara katılan ekipler tarafından doğrulanmasada, pek çok görüşe göre Çin Hükümeti’nin yasağından dolayı Çinli araştırmacılar yaklaşık 4 senedir uluslararası bu tarz organizasyonlara katılamıyor yada katılmıyor.
Bulunan güvenlik açıkları bildirilecek mi?
Bu kapsamda sorulabilecek belki de en önemli sorulardan biri de organizasyon kapsamında bulunan güvenlik açıkları şirketlere bildirilecek mi yada ilerleyen zamanlarda teknik detaylarıyla açıklanacak mı diye düşünülülebilir. Çünkü 2020’de gerçekleştirilen aynı organizasyon çerçevesinde iOS’a ait bir zaafiyet bulunmuş, bu zafiyetin ise daha sonra Pekin rejimi tarafından Uygur nüfusuna karşı yürütülen bir siber casusluk kampanyasında kullanıldığı keşfedilmişti.
