Google відкриває конкурс Bug Bounty на 250 тисяч доларів для гіпервізора віртуальних машин
Якщо дослідники безпеки зможуть виконати атаку "гість-хост", використовуючи вразливість нульового дня в гіпервізорі KVM з відкритим вихідним кодом, Google виправдає витрачені зусилля.
Щоб спонукати людей знаходити дірки в безпеці у гіпервізорі віртуальної машини на основі ядра (KVM) з відкритим вихідним кодом, Google запустив програму винагород за вразливість (VRP), головний приз якої становить до чверті мільйона доларів. VRP налаштований як змагання із захоплення прапора, в якому тестер входить до системи як гість і намагається знайти вразливість нульового дня у ядрі хоста KVM.
KVM – це проект з відкритим вихідним кодом, активним учасником якого є Google, який включено до основної версії Linux з 2007 року. Він дозволяє пристроям на базі процесорів Intel або AMD запускати кілька віртуальних машин (ВМ) з апаратною емуляцією, яку можна налаштувати для підтримки кількох застарілих операційних систем. Google використовує його на своїх платформах Android та Google Cloud, тому він зацікавлений у забезпеченні безпеки.
Вперше оголошений у жовтні минулого року конкурс kvmCTF офіційно стартував 27 червня. Учасники резервують часові інтервали (у форматі UTC) для входу в гостьову віртуальну машину, що працює на «голому залозі», а потім намагаються провести атаку «гість-хост».
"Метою атаки має бути використання вразливості нульового дня в підсистемі KVM ядра хоста", - йдеться у стартовому повідомленні Google про конкурс. У зв'язку з цим у конкурсі не розглядаються вразливості, що виникають в емуляторі QEMU або засновані на методах передачі між хостом і KVM. У повних правилах описаний весь процес: від того, як завантажити необхідні файли, до того, як правильно довести успішний експлойт.
Цей список нагород з'явився в записі блогу Google Security від 27 червня:
-
Full VM escape: $250,000
-
Arbitrary memory write: $100,000
-
Arbitrary memory read: $50,000
-
Relative memory write: $50,000
-
Denial of service: $20,000
-
Relative memory read: $10,000
Нагороди не підсумовуються — етичні хакери одержують лише винагороду за кінцеву точку, а не за проміжні кроки. Крім того, нагороду отримує лише перша успішна робота, але, згідно з обговоренням на каналі kvmCTF Discord, на момент публікації жодної заявки отримано не було.