+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

Google відкриває конкурс Bug Bounty на 250 тисяч доларів для гіпервізора віртуальних машин

Google відкриває конкурс Bug Bounty на 250 тисяч доларів для гіпервізора віртуальних машин

Якщо дослідники безпеки зможуть виконати атаку "гість-хост", використовуючи вразливість нульового дня в гіпервізорі KVM з відкритим вихідним кодом, Google виправдає витрачені зусилля.

Щоб спонукати людей знаходити дірки в безпеці у гіпервізорі віртуальної машини на основі ядра (KVM) з відкритим вихідним кодом, Google запустив програму винагород за вразливість (VRP), головний приз якої становить до чверті мільйона доларів. VRP налаштований як змагання із захоплення прапора, в якому тестер входить до системи як гість і намагається знайти вразливість нульового дня у ядрі хоста KVM.

KVM – це проект з відкритим вихідним кодом, активним учасником якого є Google, який включено до основної версії Linux з 2007 року. Він дозволяє пристроям на базі процесорів Intel або AMD запускати кілька віртуальних машин (ВМ) з апаратною емуляцією, яку можна налаштувати для підтримки кількох застарілих операційних систем. Google використовує його на своїх платформах Android та Google Cloud, тому він зацікавлений у забезпеченні безпеки.

Вперше оголошений у жовтні минулого року конкурс kvmCTF офіційно стартував 27 червня. Учасники резервують часові інтервали (у форматі UTC) для входу в гостьову віртуальну машину, що працює на «голому залозі», а потім намагаються провести атаку «гість-хост».

"Метою атаки має бути використання вразливості нульового дня в підсистемі KVM ядра хоста", - йдеться у стартовому повідомленні Google про конкурс. У зв'язку з цим у конкурсі не розглядаються вразливості, що виникають в емуляторі QEMU або засновані на методах передачі між хостом і KVM. У повних правилах описаний весь процес: від того, як завантажити необхідні файли, до того, як правильно довести успішний експлойт.

Цей список нагород з'явився в записі блогу Google Security від 27 червня:

  • Full VM escape: $250,000

  • Arbitrary memory write: $100,000

  • Arbitrary memory read: $50,000

  • Relative memory write: $50,000

  • Denial of service: $20,000

  • Relative memory read: $10,000

Нагороди не підсумовуються — етичні хакери одержують лише винагороду за кінцеву точку, а не за проміжні кроки. Крім того, нагороду отримує лише перша успішна робота, але, згідно з обговоренням на каналі kvmCTF Discord, на момент публікації жодної заявки отримано не було.

Google прагне підвищити безпеку технологій з відкритим вихідним кодом, особливо тих, які становлять основу багатьох наших продуктів, таких як Linux та KVM. У зв'язку з цим ми раді оголосити про запуск kvmCTF, програми винагороди за вразливість (VRP) для гіпервізора віртуальної машини на основі ядра (KVM), вперше анонсованої у жовтні 2023 року.
KVM – це надійний гіпервізор з більш ніж 15-річним досвідом розробки з відкритим вихідним кодом, який широко використовується у споживчому та корпоративному сегменті, включаючи такі платформи, як Android та Google Cloud. Google бере активну участь у проекті, і ми розробили kvmCTF як спільний спосіб виявлення та усунення вразливостей, а також подальшого зміцнення цього фундаментального кордону безпеки.
Подібно до kernelCTF, kvmCTF — це програма винагороди за вразливість, розроблена для допомоги у виявленні та усуненні вразливостей у гіпервізорі віртуальної машини на основі ядра (KVM). Він пропонує лабораторне середовище, де учасники можуть увійти до системи та використовувати свої експлойти для отримання прапорів. Примітно, що в kvmCTF основна увага приділяється вразливості нульового дня, і в результаті ми не винагороджуватимемо експлойти, що використовують уразливості n-днів. Подробиці про вразливість нульового дня будуть надіслані Google після випуску основного патчу, щоб гарантувати, що Google отримає їх одночасно з рештою спільноти розробників відкритого вихідного коду. Крім того, kvmCTF використовує середовище Google Bare Metal Solution (BMS) для розміщення своєї інфраструктури. Нарешті, враховуючи, наскільки важливим є гіпервізор для загальної безпеки системи, kvmCTF винагороджує за різні рівні вразливостей, включаючи виконання коду та вихід з віртуальної машини.
Для початку почніть із прочитання правил програми. Там ви знайдете інформацію про те, як зарезервувати часовий інтервал, підключитися до гостя та отримати прапори, зіставлення різних порушень KASAN з рівнями винагороди та інструкції про те, як повідомити про вразливість

Інші новини