A Google lançou a kvmCTF, um novo programa de recompensas por vulnerabilidades (Vulnerability Reward Program - VRP) anunciado pela primeira vez em outubro de 2023 para aprimorar a segurança do hypervisor Kernel-based Virtual Machine (KVM), que vem com recompensas de até U$250.000 por exploits de escape completo de VM.
KVM, um hypervisor open-source com mais de 17 anos de desenvolvimento, é um componente crucial tanto para consumidores quanto para empresas, alimentando plataformas como Android e Google Cloud.
Como um colaborador ativo e chave do KVM, a Google desenvolveu a kvmCTF como uma plataforma colaborativa para ajudar a identificar e corrigir vulnerabilidades, fortalecendo essa camada de segurança vital.
Assim como o programa de recompensas por vulnerabilidades kernelCTF, que visa falhas de segurança no kernel Linux, a kvmCTF foca em bugs alcançáveis por VM no hypervisor Kernel-based Virtual Machine (KVM).
O objetivo é executar ataques bem-sucedidos de guest para host, e vulnerabilidades de QEMU ou de host para KVM não serão recompensadas.
Pesquisadores de segurança que se inscreverem no programa terão acesso a um ambiente de laboratório controlado onde podem usar exploits para capturar flags.
No entanto, ao contrário de outros programas de recompensa por vulnerabilidades, a kvmCTF se concentra em vulnerabilidades zero-day e não oferecerá recompensas por exploits que visem vulnerabilidades já conhecidas.
Os níveis de recompensa para a kvmCTF são os seguintes:
Escape completo de VM: $250.000
Escrita de memória arbitrária: $100.000
Leitura de memória arbitrária: $50.000
Escrita de memória relativa: $50.000
Negação de serviço: $20.000
Leitura de memória relativa: $10.000
A infraestrutura da kvmCTF é hospedada no ambiente Bare Metal Solution (BMS) da Google, destacando o compromisso do programa com altos padrões de segurança.
"Os participantes poderão reservar slots de tempo para acessar a VM convidada e tentar realizar um ataque de guest para host.O objetivo do ataque deve ser explorar uma vulnerabilidade zero-day no subsistema KVM do kernel do host," disse Marios Pomonis, engenheiro de software da Google.
Se bem-sucedido, o atacante obterá uma flag que comprova seu êxito na exploração da vulnerabilidade.
A gravidade do ataque determinará o valor da recompensa, que será baseada no sistema de tiers de recompensa explicado abaixo.
Todos os relatórios serão avaliados cuidadosamente caso a caso.
A Google receberá detalhes das vulnerabilidades zero-day descobertas apenas após o lançamento de patches upstream, garantindo que as informações sejam compartilhadas com a comunidade open-source simultaneamente.
Para começar, os participantes devem revisar as regras da kvmCTF, que incluem informações sobre reservar slots de tempo, conectar-se à VM convidada, obter flags, mapear várias violações do KASAN para tiers de recompensa, bem como instruções detalhadas sobre a reportagem de vulnerabilidades.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...