Google paga até U$250.000 em CTF
3 de Julho de 2024

A Google lançou a kvmCTF, um novo programa de recompensas por vulnerabilidades (Vulnerability Reward Program - VRP) anunciado pela primeira vez em outubro de 2023 para aprimorar a segurança do hypervisor Kernel-based Virtual Machine (KVM), que vem com recompensas de até U$250.000 por exploits de escape completo de VM.

KVM, um hypervisor open-source com mais de 17 anos de desenvolvimento, é um componente crucial tanto para consumidores quanto para empresas, alimentando plataformas como Android e Google Cloud.

Como um colaborador ativo e chave do KVM, a Google desenvolveu a kvmCTF como uma plataforma colaborativa para ajudar a identificar e corrigir vulnerabilidades, fortalecendo essa camada de segurança vital.

Assim como o programa de recompensas por vulnerabilidades kernelCTF, que visa falhas de segurança no kernel Linux, a kvmCTF foca em bugs alcançáveis por VM no hypervisor Kernel-based Virtual Machine (KVM).

O objetivo é executar ataques bem-sucedidos de guest para host, e vulnerabilidades de QEMU ou de host para KVM não serão recompensadas.

Pesquisadores de segurança que se inscreverem no programa terão acesso a um ambiente de laboratório controlado onde podem usar exploits para capturar flags.

No entanto, ao contrário de outros programas de recompensa por vulnerabilidades, a kvmCTF se concentra em vulnerabilidades zero-day e não oferecerá recompensas por exploits que visem vulnerabilidades já conhecidas.

Os níveis de recompensa para a kvmCTF são os seguintes:

Escape completo de VM: $250.000
Escrita de memória arbitrária: $100.000
Leitura de memória arbitrária: $50.000
Escrita de memória relativa: $50.000
Negação de serviço: $20.000
Leitura de memória relativa: $10.000


A infraestrutura da kvmCTF é hospedada no ambiente Bare Metal Solution (BMS) da Google, destacando o compromisso do programa com altos padrões de segurança.

"Os participantes poderão reservar slots de tempo para acessar a VM convidada e tentar realizar um ataque de guest para host.O objetivo do ataque deve ser explorar uma vulnerabilidade zero-day no subsistema KVM do kernel do host," disse Marios Pomonis, engenheiro de software da Google.

Se bem-sucedido, o atacante obterá uma flag que comprova seu êxito na exploração da vulnerabilidade.

A gravidade do ataque determinará o valor da recompensa, que será baseada no sistema de tiers de recompensa explicado abaixo.

Todos os relatórios serão avaliados cuidadosamente caso a caso.

A Google receberá detalhes das vulnerabilidades zero-day descobertas apenas após o lançamento de patches upstream, garantindo que as informações sejam compartilhadas com a comunidade open-source simultaneamente.

Para começar, os participantes devem revisar as regras da kvmCTF, que incluem informações sobre reservar slots de tempo, conectar-se à VM convidada, obter flags, mapear várias violações do KASAN para tiers de recompensa, bem como instruções detalhadas sobre a reportagem de vulnerabilidades.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...