O Google lançou o kvmCTF, um novo programa de recompensa por vulnerabilidades (VRP) anunciado pela primeira vez em outubro de 2023 para melhorar a segurança do hipervisor da Máquina Virtual baseada em Kernel (KVM), que vem com recompensas de US$ 250.000 para explorações de escape completas de VM.
O KVM, um hipervisor de código aberto com mais de 17 anos de desenvolvimento, é um componente crucial em ambientes de consumo e corporativos, alimentando plataformas Android e Google Cloud.
Um colaborador ativo e importante do KVM, o Google desenvolveu o kvmCTF como uma plataforma colaborativa para ajudar a identificar e corrigir vulnerabilidades, reforçando essa camada de segurança vital.
Assim como o programa de recompensa por vulnerabilidade kernelCTF do Google, que tem como alvo falhas de segurança do kernel Linux, o kvmCTF se concentra em bugs acessíveis por VM no hipervisor de Máquina Virtual baseada em Kernel (KVM).
O objetivo é executar ataques bem-sucedidos de convidado para host, e vulnerabilidades de QEMU ou de host para KVM não serão premiadas.
Pesquisadores de segurança que se inscrevem no programa recebem um ambiente de laboratório controlado onde podem usar exploits para capturar sinalizadores. No entanto, diferentemente de outros programas de recompensa por vulnerabilidade, o kvmCTF foca em vulnerabilidades de dia zero e não recompensa exploits que tenham como alvo vulnerabilidades conhecidas.
Os níveis de recompensa para kvmCTF são os seguintes:
- Fuga completa da VM: $ 250.000
- Gravação de memória arbitrária: $ 100.000
- Leitura de memória arbitrária: $ 50.000
- Memória relativa escrita: $ 50.000
- Negação de serviço: $ 20.000
- Leitura de memória relativa: $ 10.000
A infraestrutura kvmCTF é hospedada no ambiente Bare Metal Solution (BMS) do Google, destacando o comprometimento do programa com altos padrões de segurança.
“Os participantes poderão reservar intervalos de tempo para acessar a VM convidada e tentar executar um ataque de convidado para host. O objetivo do ataque deve ser explorar uma vulnerabilidade de dia zero no subsistema KVM do kernel do host”, disse o engenheiro de software do Google, Marios Pomonis.
“Se for bem-sucedido, o invasor obterá uma bandeira que prova sua realização na exploração da vulnerabilidade. A gravidade do ataque determinará o valor da recompensa, que será baseado no sistema de níveis de recompensa explicado abaixo. Todos os relatórios serão avaliados cuidadosamente caso a caso.”
O Google receberá detalhes das vulnerabilidades de dia zero descobertas somente após os patches upstream serem lançados, garantindo que as informações sejam compartilhadas com a comunidade de código aberto simultaneamente.
Para começar, os participantes devem revisar as regras do kvmCTF, que incluem informações sobre como reservar intervalos de tempo, conectar-se à VM convidada, obter sinalizadores, mapear várias violações do KASAN para níveis de recompensa, bem como instruções detalhadas sobre como relatar vulnerabilidades.