ClickCease kvmCTF: KVM 제로데이 취약점에 대한 Google의 25만 달러 현상금 지급

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

kvmCTF: KVM 제로데이 취약점에 대한 Google의 25만 달러 현상금 지급

로한 티말시나

2024년 8월 1일 TuxCare 전문가 팀

2023년 10월, Google은 커널 기반 가상 머신(KVM) 하이퍼바이저의 보안을 개선하기 위해 설계된 새로운 취약점 보상 프로그램(VRP)인 kvmCTF의 출시를 발표했습니다. 이 혁신적인 프로그램은 전체 VM 익스플로잇에 대해 최대 25만 달러의 포상금을 지급하며, 제로데이 취약점으로부터 가상 머신(VM) 환경을 강화하는 데 중요한 발걸음을 내디뎠습니다.

 

kvmCTF 프로그램

 

KVM의 적극적이고 핵심적인 기여자인 Google은 취약점을 식별하고 수정하기 위한 협업 플랫폼으로 kvmCTF를 개발했습니다. 이 이니셔티브는 다양한 시스템의 안정성과 보안에 필수적인 KVM 하이퍼바이저의 보안을 강화하는 것을 목표로 합니다.

Linux 커널 취약점을 대상으로 하는 Google의 kernelCTF 취약점 보상 프로그램과 마찬가지로, kvmCTF는 KVM 하이퍼바이저에서 VM에 도달 가능한 버그에 초점을 맞추고 있습니다. 주요 목표는 성공적인 게스트 대 호스트 공격을 실행하는 것이며, 특히 제로데이 취약점을 표적으로 삼습니다.

 

보상 등급

이 프로그램은 취약점을 발견하고 익스플로잇하는 데 상당한 보상을 제공합니다. 보상 구조는 다음과 같습니다:

  • 전체 VM 탈출: $250,000
  • 임의 메모리 쓰기: $100,000
  • 임의 메모리 읽기: $50,000
  • 상대적 메모리 쓰기: $50,000
  • 서비스 거부: $20,000
  • 상대 메모리 읽기: $10,000

 

프로그램 역학

 

이 프로그램에 등록한 보안 연구원에게는 익스플로잇을 사용하여 플래그를 캡처할 수 있는 통제된 실험실 환경이 제공됩니다. 다른 VRP와 달리 kvmCTF는 알려진 취약점을 노리는 익스플로잇을 제외하고 제로데이 취약점에만 집중합니다.

kvmCTF 인프라는 Google의 베어 메탈 솔루션(BMS) 환경에서 호스팅되어 높은 보안 표준에 대한 프로그램의 노력을 강조합니다. 참가자는 게스트 VM에 접속하여 게스트 대 호스트 공격을 시도할 시간 슬롯을 예약할 수 있습니다. 공격의 심각도에 따라 정해진 보상 등급에 따라 보상 금액이 결정됩니다.

책임감 있는 공개를 위해 Google은 업스트림 패치가 릴리스된 후에만 발견된 제로데이 취약점에 대한 세부 정보를 받습니다. 이러한 접근 방식은 정보가 오픈 소스 커뮤니티와 동시에 공유되도록 하여 KVM의 보안을 강화하기 위한 공동의 노력을 촉진합니다.

 

결론

 

참여하려면 연구자는 시간 슬롯 예약, 게스트 VM 연결, 플래그 획득, 다양한 KASAN(커널 주소 샌나이저) 위반을 보상 등급에 매핑하는 방법, 취약점 보고에 대한 자세한 지침이 포함된 kvmCTF 규칙을 검토해야 합니다. 이 포괄적인 가이드는 참가자가 프로세스를 탐색하고 프로그램에 효과적으로 기여할 수 있도록 도와줍니다.

이 이니셔티브는 가상 머신 환경 보안을 위한 지속적인 노력의 중요한 진전을 의미합니다. 제로데이 취약점 발견을 장려하고 보안 커뮤니티와의 협업을 촉진함으로써 KVM 하이퍼바이저의 견고성을 강화하는 것을 목표로 합니다. 이 프로그램이 진행됨에 따라 방대한 소비자 및 기업 애플리케이션의 기반이 되는 인프라를 보호하는 데 중추적인 역할을 할 것으로 기대됩니다.

 

이 글의 출처는 BleepingComputer의 기사입니다.

요약
kvmCTF: KVM 제로데이 취약점에 대한 Google의 25만 달러 현상금 지급
기사 이름
kvmCTF: KVM 제로데이 취약점에 대한 Google의 25만 달러 현상금 지급
설명
Google은 KVM 제로데이 취약점에 대해 25만 달러를 보상하는 취약점 보상 프로그램인 kvmCTF를 출시합니다.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기