Kỹ sư Viettel giành top thế giới ở cuộc thi khai thác lỗ hổng bảo mật

Trên website của ban tổ chức Zero day Initiative (ZDI) cuộc thi Pwn2Own, đội của Viettel Cyber Security (VCS) đạt 15,5 điểm, xếp thứ hai chung cuộc.

Pwn2Own là một trong những cuộc thi khai thác lỗ hổng bảo mật danh giá nhất toàn cầu, được tổ chức thường niên bởi chương trình ZDI. Cuộc thi năm nay có ba mùa giải chính bao gồm: Pwn2Own Automotive Tokyo với trọng tâm là thiết bị ô tô thông minh; Pwn2Own Berlin với chủ đề về hệ thống cho doanh nghiệp; và Pwn2Own Toronto cuối năm tập trung vào thiết bị thông minh.

Đội của VCS có kết quả tốt nhất của một nhóm đến từ Việt Nam tại mùa giải lần này. Xếp trên họ là nhóm STARLabs đến từ Singapore. Ngoài ra, một số nhóm khác đến từ Việt Nam như FPT NightWolf đạt 1,5 điểm cùng phần thưởng 15.000 USD, Qrious Secure đạt 3 điểm và 30.000 USD.

Năm nay, trong lần thử sức ở hạng mục giải mới, các nhóm thi tham gia ba thử thách gồm: hệ thống máy chủ AI Nvidia Triton Inference Server, nền tảng ảo hóa mã nguồn mở Oracle VirtualBox và hệ thống quản trị dữ liệu Microsoft SharePoint.

Các đội thi sẽ chuẩn bị trước các lỗ hổng bảo mật và trình diễn việc khai thác tối đa 3 lần trong 30 phút tại cuộc thi. Thách thức ở chỗ các hãng có thể vá lỗ hổng ngay trước thềm sự kiện, hoặc các lỗ hổng có thể bị đối thủ khác khai thác trước. Vì vậy để đảm bảo giành điểm, các nhóm phải chuẩn bị nhiều lỗ hổng nhất có thể, đặc biệt là lỗ hổng khó, ít người tìm ra, đồng thời tập trung cao độ trong quá trình thực hiện.

Ở cả ba phần thi, nhóm thi đến từ Việt Nam đều khai thác thành công các lỗ hổng, trong đó lỗ hổng ở hệ thống Microsoft mang về 10 điểm, là một trong những điểm số cao nhất tại cuộc thi.

Ở phần thi VirtualBox, các kỹ sư VCS cũng gây ấn tượng khi mất chưa đến một giây để khai thác. Tuy nhiên ở phần sản phẩm Nvidia, do lỗ hổng đã được phát hiện trước, nhóm chỉ đạt 1,5 điểm.

Trong khi đó, đối thủ của họ là STARLabs đăng ký 6 hạng mục và khai thác thành công 5 lần, nhận về 35 điểm và phần thưởng 320.000 USD.

Các kỹ sư bảo mật từ VCS từng hai lần vô địch ở mùa giải về thiết bị thông minh năm 2023 và 2024. Theo đại diện VCS, cuộc thi lần này là sự thử sức với các thử thách mới và cho nhóm kỹ sư trẻ, toàn bộ đề là GenZ. Đây cũng là lần đầu tiên Pwn2Own có hạng mục AI, trong đó các nhà bảo mật phải khai thác được lỗ hổng trong các cơ sở hạ tầng AI được dùng trong việc chạy các mô hình. Lỗ hổng trên Nvidia Triton Inference Server là một trong những thử thách về AI đã bị nhóm kỹ sư Việt vượt qua. Thử thách này được đánh giá là đòi hỏi năng lực phân tích sâu, khả năng tấn công ở tầng hệ thống và tư duy bảo mật cập nhật theo xu hướng công nghệ mới.

"Thành tích này góp phần mở đường cho những xu hướng mới trong lĩnh vực nghiên cứu và khai thác lỗ hổng bảo mật tại Việt Nam", đại diện nhóm cho biết.

Lưu Quý