kvmCTF : Google offre une prime de 250 000 dollars pour les vulnérabilités de type Zero-Day de KVM
En octobre 2023, Google a annoncé le lancement de kvmCTF, un nouveau programme de récompense des vulnérabilités (VRP) conçu pour améliorer la sécurité de l'hyperviseur KVM (Kernel-based Virtual Machine). Ce programme innovant prévoit des primes allant jusqu'à 250 000 dollars pour les exploits d'évasion complète de VM, marquant ainsi une étape importante dans la protection des environnements de machines virtuelles (VM) contre les vulnérabilités de type "zero-day".
Le programme kvmCTF
En tant que contributeur actif et clé de KVM, Google a développé kvmCTF en tant que plateforme collaborative pour identifier et corriger les vulnérabilités. Cette initiative vise à renforcer la sécurité de l'hyperviseur KVM, qui est essentiel pour la stabilité et la sécurité de divers systèmes.
À l'instar du programme de récompense des vulnérabilités kernelCTF de Google, qui cible les vulnérabilités du noyau Linux, kvmCTF se concentre sur les bogues accessibles aux VM dans l'hyperviseur KVM. L'objectif principal est d'exécuter des attaques "guest-to-host" réussies, en ciblant spécifiquement les vulnérabilités de type "zero-day".
Paliers de récompense
Ce programme offre des récompenses substantielles pour la découverte et l'exploitation de vulnérabilités. La structure des récompenses est la suivante :
- Échappée complète de la VM : 250 000
- Écriture mémoire arbitraire : 100 000
- Lecture arbitraire de la mémoire : 50 000
- Écriture de mémoire relative : 50 000
- Refus de service : 20 000
- Lecture de la mémoire relative : 10 000
Mécanismes du programme
Les chercheurs en sécurité qui s'inscrivent à ce programme disposent d'un environnement de laboratoire contrôlé où ils peuvent utiliser des exploits pour capturer des drapeaux. Contrairement à d'autres VRP, kvmCTF se concentre uniquement sur les vulnérabilités du jour zéro, à l'exclusion des exploits ciblant des vulnérabilités connues.
L'infrastructure kvmCTF est hébergée dans l'environnement Bare Metal Solution (BMS) de Google, ce qui souligne l'engagement du programme à respecter des normes de sécurité élevées. Les participants peuvent réserver des créneaux horaires pour accéder à la machine virtuelle invitée et tenter des attaques "guest-to-host". La gravité de l'attaque détermine le montant de la récompense en fonction des niveaux de récompense établis.
Afin de garantir une divulgation responsable, Google ne recevra les détails des vulnérabilités "zero-day" découvertes qu'après la publication des correctifs en amont. Cette approche garantit que les informations sont partagées simultanément avec la communauté des logiciels libres, ce qui favorise un effort de collaboration pour améliorer la sécurité de KVM.
Conclusion
Pour participer, les chercheurs doivent prendre connaissance des règles de kvmCTF, qui comprennent des instructions détaillées sur la réservation de créneaux horaires, la connexion à la machine virtuelle invitée, l'obtention de drapeaux, la mise en correspondance de diverses violations KASAN (Kernel Address SANitizer) avec les niveaux de récompense, et le signalement des vulnérabilités. Ce guide complet aide les participants à naviguer dans le processus et à contribuer efficacement au programme.
Cette initiative représente une avancée significative dans l'effort continu de sécurisation des environnements de machines virtuelles. En encourageant la découverte de vulnérabilités de type "zero-day" et en promouvant la collaboration avec la communauté de la sécurité, elle vise à renforcer la robustesse de l'hyperviseur KVM. Au fur et à mesure que le programme progresse, il devrait jouer un rôle essentiel dans la protection de l'infrastructure qui sous-tend une vaste gamme d'applications destinées aux consommateurs et aux entreprises.
Les sources de cet article comprennent un article de BleepingComputer.