Google paga 250.000 dólares por vulnerabilidades de día cero de KVM

Iniciado por AXCESS, Julio 03, 2024, 11:07:47 PM

Tema anterior - Siguiente tema

0 Miembros y 2 Visitantes están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Julio 03, 2024, 11:07:47 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Google lanzó kvmCTF, un nuevo programa de recompensa de vulnerabilidades (VRP) anunciado por primera vez en octubre de 2023 para mejorar la seguridad del hipervisor de máquinas virtuales basadas en kernel (KVM) que viene con recompensas de 250.000 dólares por exploits completos de escape de VM.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

KVM, un hipervisor de código abierto con más de 17 años de desarrollo, es un componente crucial en entornos de consumidores y empresas, que impulsa las plataformas Android y Google Cloud.

Google, colaborador activo y clave de KVM, desarrolló kvmCTF como una plataforma colaborativa para ayudar a identificar y corregir vulnerabilidades, reforzando esta capa de seguridad vital.

Al igual que el programa de recompensa de vulnerabilidad kernelCTF de Google, que apunta a fallas de seguridad del kernel de Linux, kvmCTF se enfoca en errores alcanzables por VM en el hipervisor de máquina virtual basada en kernel (KVM).

El objetivo es ejecutar ataques exitosos de huésped a host, y no se otorgarán vulnerabilidades QEMU o de host a KVM.

Los investigadores de seguridad que se inscriben en el programa reciben un entorno de laboratorio controlado donde pueden utilizar exploits para capturar indicadores. Sin embargo, a diferencia de otros programas de recompensa de vulnerabilidades, kvmCTF se centra en vulnerabilidades de día cero y no recompensará exploits dirigidos a vulnerabilidades conocidas.

Los niveles de recompensa para kvmCTF son los siguientes:

 Escape completo de VM: $250,000

 Escritura de memoria arbitraria: $100,000

 Lectura de memoria arbitraria: $50,000

 Escritura de memoria relativa: $50,000

 Denegación de servicio: $20,000

 Lectura de memoria relativa: $10,000

La infraestructura kvmCTF está alojada en el entorno Bare Metal Solution (BMS) de Google, lo que destaca el compromiso del programa con los altos estándares de seguridad.

"Los participantes podrán reservar intervalos de tiempo para acceder a la VM invitada e intentar realizar un ataque de invitado a host. El objetivo del ataque debe ser explotar una vulnerabilidad de día cero en el subsistema KVM del kernel del host", dijo Marios Pomonis, ingeniero de software de Google.

"Si tiene éxito, el atacante obtendrá una bandera que demuestra su logro en la explotación de la vulnerabilidad. La gravedad del ataque determinará el monto de la recompensa, que se basará en el sistema de niveles de recompensa que se explica a continuación. Todos los informes se evaluarán minuciosamente en un caso por caso."

Google recibirá detalles de las vulnerabilidades de día cero descubiertas solo después de que se publiquen los parches anteriores, lo que garantiza que la información se comparta con la comunidad de código abierto simultáneamente.

Para comenzar, los participantes deben revisar las reglas de kvmCTF, que incluyen información sobre cómo reservar espacios de tiempo, conectarse a la VM invitada, obtener indicadores, mapear varias violaciones de KASAN para niveles de recompensa, así como instrucciones detalladas sobre cómo informar vulnerabilidades.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario