Google відкриває конкурс Bug Bounty на 250 тисяч доларів для гіпервізора віртуальних машин
Google відкриває конкурс Bug Bounty на 250 тисяч доларів для гіпервізора віртуальних машин
Якщо дослідники безпеки зможуть виконати атаку "гість-хост", використовуючи вразливість нульового дня в гіпервізорі KVM з відкритим вихідним кодом, Google виправдає витрачені зусилля.
Щоб спонукати людей знаходити дірки в безпеці у гіпервізорі віртуальної машини на основі ядра (KVM) з відкритим вихідним кодом, Google запустив програму винагород за вразливість (VRP), головний приз якої становить до чверті мільйона доларів. VRP налаштований як змагання із захоплення прапора, в якому тестер входить до системи як гість і намагається знайти вразливість нульового дня у ядрі хоста KVM.
KVM – це проект з відкритим вихідним кодом, активним учасником якого є Google, який включено до основної версії Linux з 2007 року. Він дозволяє пристроям на базі процесорів Intel або AMD запускати кілька віртуальних машин (ВМ) з апаратною емуляцією, яку можна налаштувати для підтримки кількох застарілих операційних систем. Google використовує його на своїх платформах Android та Google Cloud, тому він зацікавлений у забезпеченні безпеки.
Вперше оголошений у жовтні минулого року конкурс kvmCTF офіційно стартував 27 червня. Учасники резервують часові інтервали (у форматі UTC) для входу в гостьову віртуальну машину, що працює на «голому залозі», а потім намагаються провести атаку «гість-хост».
"Метою атаки має бути використання вразливості нульового дня в підсистемі KVM ядра хоста", - йдеться у стартовому повідомленні Google про конкурс. У зв'язку з цим у конкурсі не розглядаються вразливості, що виникають в емуляторі QEMU або засновані на методах передачі між хостом і KVM. У повних правилах описаний весь процес: від того, як завантажити необхідні файли, до того, як правильно довести успішний експлойт.
Цей список нагород з'явився в записі блогу Google Security від 27 червня:
-
Full VM escape: $250,000
-
Arbitrary memory write: $100,000
-
Arbitrary memory read: $50,000
-
Relative memory write: $50,000
-
Denial of service: $20,000
-
Relative memory read: $10,000
Нагороди не підсумовуються — етичні хакери одержують лише винагороду за кінцеву точку, а не за проміжні кроки. Крім того, нагороду отримує лише перша успішна робота, але, згідно з обговоренням на каналі kvmCTF Discord, на момент публікації жодної заявки отримано не було.