ClickCease kvmCTF: Google ofrece 250.000 dólares por vulnerabilidades de día cero en KVM

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

kvmCTF: Google ofrece 250.000 dólares por vulnerabilidades de día cero en KVM

Rohan Timalsina

1 de agosto de 2024 - Equipo de expertos TuxCare

En octubre de 2023, Google anunció el lanzamiento de kvmCTF, un nuevo programa de recompensas por vulnerabilidades (VRP) diseñado para mejorar la seguridad del hipervisor Kernel-based Virtual Machine (KVM). Este innovador programa ofrece recompensas de hasta 250.000 dólares por exploits de escape de máquinas virtuales completas, lo que supone un paso importante en la fortificación de los entornos de máquinas virtuales (VM) frente a las vulnerabilidades de día cero.

 

El programa kvmCTF

 

Como colaborador activo y clave de KVM, Google ha desarrollado kvmCTF como plataforma de colaboración para identificar y corregir vulnerabilidades. Esta iniciativa pretende reforzar la seguridad del hipervisor KVM, vital para la estabilidad y seguridad de diversos sistemas.

Al igual que el programa de recompensa de vulnerabilidades kernelCTF de Google, que se centra en las vulnerabilidades del kernel de Linux, kvmCTF se centra en los fallos del hipervisor KVM alcanzables por las máquinas virtuales. El objetivo principal es ejecutar con éxito ataques guest-to-host, dirigidos específicamente a vulnerabilidades de día cero.

 

Niveles de recompensa

Este programa ofrece importantes recompensas por descubrir y explotar vulnerabilidades. La estructura de recompensas es la siguiente:

  • Evasión completa VM: 250.000 dólares
  • Escritura arbitraria en memoria: 100.000 dólares
  • Lectura de memoria arbitraria: 50.000 dólares
  • Escritura de memoria relativa: 50.000 dólares
  • Denegación de servicio: 20.000 dólares
  • Memoria relativa leída: 10.000 dólares

 

Mecánica del programa

 

Los investigadores de seguridad que se inscriben en este programa disponen de un entorno de laboratorio controlado en el que pueden utilizar exploits para capturar banderas. A diferencia de otros VRP, kvmCTF se centra únicamente en vulnerabilidades de día cero, excluyendo los exploits dirigidos a vulnerabilidades conocidas.

La infraestructura kvmCTF se aloja en el entorno Bare Metal Solution (BMS) de Google, lo que subraya el compromiso del programa con las normas de alta seguridad. Los participantes pueden reservar franjas horarias para acceder a la máquina virtual invitada e intentar ataques de invitado a host. La gravedad del ataque determina el importe de la recompensa en función de los niveles de recompensa establecidos.

Para garantizar una divulgación responsable, Google recibirá los detalles de las vulnerabilidades de día cero descubiertas sólo después de que se publiquen los parches upstream. Este enfoque garantiza que la información se comparta simultáneamente con la comunidad de código abierto, fomentando un esfuerzo de colaboración para mejorar la seguridad de KVM.

 

Conclusión

 

Para participar, los investigadores deben revisar las normas de kvmCTF, que incluyen instrucciones detalladas sobre la reserva de franjas horarias, la conexión a la máquina virtual invitada, la obtención de indicadores, la asignación de diversas infracciones de KASAN (Kernel Address SANitizer) a niveles de recompensa y la notificación de vulnerabilidades. Esta completa guía ayuda a los participantes a navegar por el proceso y contribuir eficazmente al programa.

Esta iniciativa representa un avance significativo en el esfuerzo continuo por asegurar los entornos de máquinas virtuales. Al incentivar el descubrimiento de vulnerabilidades de día cero y promover la colaboración con la comunidad de seguridad, pretende mejorar la solidez del hipervisor KVM. A medida que avance el programa, se espera que desempeñe un papel fundamental en la protección de la infraestructura que sustenta una amplia gama de aplicaciones empresariales y de consumo.

 

Las fuentes de este artículo incluyen un artículo de BleepingComputer.

Resumen
kvmCTF: Google ofrece 250.000 dólares por vulnerabilidades de día cero en KVM
Nombre del artículo
kvmCTF: Google ofrece 250.000 dólares por vulnerabilidades de día cero en KVM
Descripción
Google lanza kvmCTF: un programa de recompensas por vulnerabilidades que ofrece 250.000 dólares por las vulnerabilidades de día cero de KVM.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín