Google lanzó kvmCTF, un nuevo programa de recompensa de vulnerabilidades (VRP) anunciado por primera vez en octubre de 2023 para mejorar la seguridad del hipervisor de máquinas virtuales basadas en kernel (KVM) que incluye recompensas de 250 000 dólares por exploits que escapen de máquinas virtuales completas.
KVM, un hipervisor de código abierto con más de 17 años de desarrollo, es un componente crucial en entornos de consumo y empresariales, que impulsa las plataformas Android y Google Cloud.
Google, colaborador activo y clave de KVM, desarrolló kvmCTF como una plataforma colaborativa para ayudar a identificar y remediar vulnerabilidades, fortaleciendo esta capa de seguridad vital.
Al igual que el programa de recompensa de vulnerabilidad kernelCTF de Google, que apunta a las fallas de seguridad del kernel de Linux, kvmCTF se enfoca en errores accesibles a las máquinas virtuales en el hipervisor de máquinas virtuales basadas en kernel (KVM).
El objetivo es ejecutar ataques exitosos de huésped a host, y las vulnerabilidades QEMU o de host a KVM no serán recompensadas.
Los investigadores de seguridad que se inscriben en el programa se benefician de un entorno de laboratorio controlado donde pueden utilizar exploits para capturar señales de alerta. Sin embargo, a diferencia de otros programas de recompensa de vulnerabilidades, kvmCTF se centra en vulnerabilidades de día cero y no recompensará exploits dirigidos a vulnerabilidades conocidas.
Los niveles de recompensa para kvmCTF son los siguientes:
- Escape completo de la máquina virtual: 250.000 dólares
- Escritura de memoria arbitraria: $100,000
- Lectura de memoria arbitraria: 50.000 dólares
- Escritura de memoria relativa: $50,000
- Denegación de servicio: $20,000
- Lectura de memoria relativa: $10,000
La infraestructura kvmCTF está alojada en el entorno Bare Metal Solution (BMS) de Google, lo que destaca el compromiso del programa con altos estándares de seguridad.
“Los participantes podrán reservar franjas horarias para acceder a la máquina virtual invitada e intentar llevar a cabo un ataque de host invitado. El objetivo del ataque debe ser explotar una vulnerabilidad de día cero en el subsistema KVM del kernel del host”. dicho Marios Pomonis, ingeniero de software de Google.
“Si tiene éxito, el atacante recibirá un informe que demostrará que aprovechó la vulnerabilidad con éxito. La gravedad del ataque determinará el monto de la recompensa, que se basará en el sistema de niveles de recompensa que se explica a continuación. Todos los informes serán evaluados cuidadosamente caso por caso. »
Google recibirá detalles de las vulnerabilidades de día cero descubiertas solo después de que se publiquen los parches anteriores, lo que garantiza que la información se comparte simultáneamente con la comunidad de código abierto.
Para comenzar, los participantes deben revisar la reglas kvmCTFque incluye información sobre cómo reservar franjas horarias, conectarse a la máquina virtual invitada, obtener indicadores, mapear varias violaciones de KASAN a niveles de recompensa e instrucciones detalladas sobre cómo informar vulnerabilidades.