ClickCease kvmCTF: 250.000 $ Kopfgeld von Google für KVM-Zero-Day-Schwachstellen

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

kvmCTF: 250.000 $ Kopfgeld von Google für KVM-Zero-Day-Schwachstellen

Rohan Timalsina

1. August 2024. TuxCare-Expertenteam

Im Oktober 2023 kündigte Google den Start von kvmCTF an, einem neuen Programm zur Auslobung von Belohnungen für Schwachstellen (VRP), das die Sicherheit des Hypervisors Kernel-based Virtual Machine (KVM) verbessern soll. Dieses innovative Programm bietet Belohnungen von bis zu 250.000 US-Dollar für vollständige VM-Escape-Exploits und ist ein wichtiger Schritt zur Stärkung von Umgebungen mit virtuellen Maschinen (VM) gegen Zero-Day-Schwachstellen.

 

Das kvmCTF-Programm

 

Als aktiver und wichtiger Mitwirkender an KVM hat Google kvmCTF als gemeinschaftliche Plattform entwickelt, um Schwachstellen zu identifizieren und zu beheben. Diese Initiative zielt darauf ab, die Sicherheit des KVM-Hypervisors zu erhöhen, der für die Stabilität und Sicherheit verschiedener Systeme unerlässlich ist.

Ähnlich wie das kernelCTF-Programm von Google, das auf Schwachstellen im Linux-Kernel abzielt, konzentriert sich kvmCTF auf VM-reachable Bugs im KVM-Hypervisor. Das Hauptziel ist die Durchführung erfolgreicher Gast-zu-Host-Angriffe, die speziell auf Zero-Day-Schwachstellen abzielen.

 

Belohnungsstufen

Dieses Programm bietet erhebliche Belohnungen für die Entdeckung und Ausnutzung von Sicherheitslücken. Die Struktur der Belohnung ist wie folgt:

  • Vollständige VM-Flucht: 250.000 $
  • Beliebiges Schreiben in den Speicher: $100.000
  • Beliebiger Speicherplatz: $50.000
  • Relativer Speicherbedarf: 50.000 $
  • Dienstverweigerung: $20.000
  • Relativer Speicherstand: 10.000 $

 

Programm-Mechanik

 

Sicherheitsforschern, die sich für dieses Programm anmelden, wird eine kontrollierte Laborumgebung zur Verfügung gestellt, in der sie Exploits zur Erfassung von Kennzeichnungen verwenden können. Im Gegensatz zu anderen VRPs konzentriert sich kvmCTF ausschließlich auf Zero-Day-Schwachstellen und schließt Exploits aus, die auf bekannte Schwachstellen abzielen.

Die kvmCTF-Infrastruktur wird in der Bare Metal Solution (BMS)-Umgebung von Google gehostet, was die Verpflichtung des Programms zu hohen Sicherheitsstandards unterstreicht. Die Teilnehmer können Zeitfenster für den Zugriff auf die Gast-VM reservieren und Gast-zu-Host-Angriffe versuchen. Der Schweregrad des Angriffs bestimmt die Höhe der Belohnung auf der Grundlage der festgelegten Belohnungsstufen.

Um eine verantwortungsvolle Veröffentlichung zu gewährleisten, erhält Google Details über entdeckte Zero-Day-Schwachstellen erst, nachdem Upstream-Patches veröffentlicht wurden. Dieser Ansatz stellt sicher, dass die Informationen gleichzeitig mit der Open-Source-Gemeinschaft geteilt werden, was eine gemeinschaftliche Anstrengung zur Verbesserung der Sicherheit von KVM fördert.

 

Schlussfolgerung

 

Um teilzunehmen, müssen die Forscher die kvmCTF-Regeln lesen, die detaillierte Anweisungen zur Reservierung von Zeitfenstern, zur Verbindung mit der Gast-VM, zum Erhalt von Flags, zur Zuordnung verschiedener KASAN-Verletzungen (Kernel Address SANitizer) zu Belohnungsstufen und zur Meldung von Schwachstellen enthalten. Dieser umfassende Leitfaden hilft den Teilnehmern, sich im Prozess zurechtzufinden und effektiv zum Programm beizutragen.

Diese Initiative stellt einen bedeutenden Fortschritt in den laufenden Bemühungen zur Sicherung von Umgebungen mit virtuellen Maschinen dar. Durch Anreize für die Entdeckung von Zero-Day-Schwachstellen und die Förderung der Zusammenarbeit mit der Sicherheitsgemeinschaft soll die Robustheit des KVM-Hypervisors verbessert werden. Mit dem Fortschreiten des Programms wird erwartet, dass es eine entscheidende Rolle bei der Sicherung der Infrastruktur spielt, die einer Vielzahl von Verbraucher- und Unternehmensanwendungen zugrunde liegt.

 

Die Quellen für diesen Artikel sind unter anderem ein Bericht von BleepingComputer.

Zusammenfassung
kvmCTF: 250.000 $ Kopfgeld von Google für KVM-Zero-Day-Schwachstellen
Artikel Name
kvmCTF: 250.000 $ Kopfgeld von Google für KVM-Zero-Day-Schwachstellen
Beschreibung
Google startet kvmCTF: ein Belohnungsprogramm für Schwachstellen, das $250.000 für KVM Zero-Day-Schwachstellen bietet.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter