Google a lansat kvmCTF, un nou program de recompensare a vulnerabilităților (VRP) anunțat pentru prima dată în octombrie 2023 pentru a îmbunătăți securitatea Kernel-based Virtual Machine (KVM) care vine cu recompense de 250.000 de dolari pentru exploatarea completă a mașinilor virtuale.
KVM, un hipervizor open-source cu peste 17 ani de dezvoltare, este un component crucial în setările consumatorilor și întreprinderilor, alimentând platformele Android și Google Cloud.
Un contribuitor activ și cheie la KVM, Google a dezvoltat kvmCTF ca o platformă colaborativă pentru a ajuta la identificarea și remedierea vulnerabilităților, consolidând acest strat de securitate vital.
Asemenea programului de recompensare a vulnerabilităților kernelCTF al Google, care vizează problemele de securitate ale kernelului Linux, kvmCTF se concentrează pe bug-urile accesibile mașinilor virtuale în hipervizorul Kernel-based Virtual Machine (KVM).
Scopul este de a executa atacuri de succes de la oaspeți la gazdă, iar vulnerabilitățile QEMU sau de la gazdă la KVM nu vor fi recompensate.
Cercetătorii de securitate care se înscriu în program primesc un mediu de laborator controlat în care pot folosi exploatațiile pentru a captura steaguri. Cu toate acestea, spre deosebire de alte programe de recompensare a vulnerabilităților, kvmCTF se concentrează pe vulnerabilități zero-day și nu va recompensa exploatațiile care vizează vulnerabilități cunoscute.
Grupurile de recompense pentru kvmCTF sunt următoarele:
Infrastructura kvmCTF este găzduită în mediu Bare Metal Solution (BMS) de la Google, evidențiind angajamentul programului față de standardele ridicate de securitate.
„Participanții vor putea rezerva intervale de timp pentru a accesa mașina virtuală a gazdei și a încerca să efectueze un atac de la oaspeți la gazdă. Scopul atacului trebuie să fie de a exploata o vulnerabilitate zero-day în subsistemul KVM al kernelului gazdei,” a declarat inginerul de software Google Marios Pomonis.
„Dacă reușește, atacatorul va obține un steag care demonstrează realizarea lor în exploatarea vulnerabilității. Severitatea atacului va determina cuantumul recompensei, care se va baza pe sistemul de grupuri de recompense explicat mai jos. Toate rapoartele vor fi evaluate cu atenție caz cu caz.”
Google va primi detalii despre vulnerabilitățile zero-day descoperite numai după ce sunt publicate patch-urile ascendente, asigurându-se că informațiile sunt distribuite simultan comunității open-source.
Pentru a începe, participanții trebuie să revizuiască regulile kvmCTF, care includ informații despre rezervarea intervalelor de timp, conectarea la mașina virtuală a gazdei, obținerea steagurilor, maparea diferitelor încălcări KASAN la grupurile de recompense, precum și instrucțiuni detaliate despre raportarea vulnerabilităților.
Leave a Reply