Google открывает конкурс Bug Bounty на 250 тысяч долларов для гипервизора виртуальных машин
Если исследователи безопасности смогут выполнить атаку «гость-хост», используя уязвимость нулевого дня в гипервизоре KVM с открытым исходным кодом, Google оправдает потраченные усилия.
Чтобы побудить людей находить дыры в безопасности в гипервизоре виртуальной машины на основе ядра (KVM) с открытым исходным кодом, Google запустил программу вознаграждений за уязвимости (VRP), главный приз которой составляет до четверти миллиона долларов. VRP настроен как соревнование по захвату флага, в котором тестер входит в систему как гость и пытается найти уязвимость нулевого дня в ядре хоста KVM.
KVM — это проект с открытым исходным кодом, активным участником которого является Google, который включен в основную версию Linux с 2007 года. Он позволяет устройствам на базе процессоров Intel или AMD запускать несколько виртуальных машин (ВМ) с аппаратной эмуляцией, которую можно настроить для поддержка нескольких устаревших операционных систем. Google использует его на своих платформах Android и Google Cloud, поэтому он заинтересован в обеспечении его безопасности.
Впервые объявленный в октябре прошлого года конкурс «kvmCTF» официально стартовал 27 июня. Участники резервируют временные интервалы (в формате UTC) для входа в гостевую виртуальную машину, работающую на «голом железе», а затем пытаются провести атаку «гость-хост».
«Целью атаки должно быть использование уязвимости нулевого дня в подсистеме KVM ядра хоста», — говорится в стартовом сообщении Google о конкурсе. В связи с этим в конкурсе не рассматриваются уязвимости, возникающие в эмуляторе QEMU или основанные на методах передачи данных между хостом и KVM. В полных правилах описан весь процесс: от того, как загрузить необходимые файлы, до того, как правильно доказать успешный эксплойт.
Этот список наград появился в записи блога Google Security от 27 июня:
-
Full VM escape: $250,000
-
Arbitrary memory write: $100,000
-
Arbitrary memory read: $50,000
-
Relative memory write: $50,000
-
Denial of service: $20,000
-
Relative memory read: $10,000
Награды не суммируются — этические хакеры получают только вознаграждение за конечную точку, а не за промежуточные шаги. Кроме того, награду получает только первая успешная работа, но, согласно обсуждению на канале kvmCTF Discord, на момент публикации ни одной заявки получено не было.