Google объявила о запуске новой Bug Bounty-программы под названием kvmCTF. Программа, впервые анонсированная в октябре 2023 года, направлена на повышение безопасности гипервизора Kernel-based Virtual Machine (KVM) и предлагает награды до $250 000 за полные эксплойты, позволяющие выйти за пределы виртуальной машины.
KVM является открытым гипервизором с более чем 17-летней историей разработки. KVM играет ключевую роль как в потребительских, так и в корпоративных средах, поддерживая платформы Android и Google Cloud.
Подобно программе kernelCTF, направленной на выявление уязвимостей в ядре Linux, kvmCTF сосредоточена на уязвимостях в гипервизоре KVM, доступных из виртуальной машины. Основная цель – выполнение успешных атак с гостевой на хостовую систему, при этом уязвимости QEMU или хостовые уязвимости KVM не будут вознаграждаться.
Участникам программы предоставляется контролируемая лабораторная среда, где они могут использовать эксплойты для захвата флагов. Программа kvmCTF ориентирована на уязвимости нулевого дня (zero-day) и не вознаграждает за эксплойты, нацеленные на известные уязвимости.
Инфраструктура kvmCTF размещена в среде Google Bare Metal Solution(Google BMS), что подчеркивает приверженность программы высоким стандартам безопасности. kvmCTF предлагает вознаграждения за выявление уязвимостей различного уровня, включая выполнение произвольного кода и побег из виртуальной машины.
Уровни вознаграждений следующие:
- Полный выход за пределы виртуальной машины: $250 000;
- Произвольная запись в память: $100 000;
- Произвольное чтение из памяти (Arbitrary memory read): $50 000;
- Относительная запись в память: $50 000;
- Отказ в обслуживании: $20 000;
- Относительное чтение из памяти (Relative memory read): $10 000.
Google объясняет, что участники смогут бронировать временные слоты для доступа к гостевой виртуальной машине и попытаться выполнить атаку с гостевой на хостовую систему. Целью атаки должно быть использование уязвимости нулевого дня в подсистеме KVM ядра хоста.
Если атака будет успешной, атакующий получит флаг, подтверждающий его достижение в эксплуатации уязвимости. Размер вознаграждения будет определяться серьёзностью атаки и соответствовать системе уровней вознаграждений. Все отчёты будут тщательно оцениваться в индивидуальном порядке.
Google получит информацию о найденных 0day только после выпуска соответствующих исправлении, что гарантирует одновременное распространение информации среди сообщества открытого исходного кода.
Для начала участия участникам необходимо ознакомиться с правилами kvmCTF, включающими информацию о бронировании временных слотов, подключении к гостевой виртуальной машине, получении флагов, сопоставлении различных нарушений KASAN с уровнями вознаграждений, а также подробные инструкции по отчётности об уязвимостях. Связаться с Google для участия в программе можно в Discord.