Google a lancé kvmCTF, un nouveau programme de récompense de vulnérabilité (VRP) annoncé pour la première fois en octobre 2023 pour améliorer la sécurité de l’hyperviseur de machine virtuelle basé sur le noyau (KVM) qui est assorti de primes de 250 000 $pour les exploits d’évasion de machine virtuelle complets.
KVM, un hyperviseur open source avec plus de 17 ans de développement, est un composant crucial dans les environnements grand public et d’entreprise, alimentant les plates-formes Android et Google Cloud.
Contributeur actif et clé de KVM, Google a développé kvmCTF en tant que plate-forme collaborative pour aider à identifier et à corriger les vulnérabilités, renforçant ainsi cette couche de sécurité vitale.
Comme le programme de récompense de vulnérabilité kernelCTF de Google, qui cible les failles de sécurité du noyau Linux, kvmCTF se concentre sur les bogues accessibles par machine virtuelle dans l’hyperviseur de machine virtuelle basé sur le noyau (KVM).
L’objectif est d’exécuter avec succès des attaques invité vers hôte, et les vulnérabilités QEMU ou hôte vers KVM ne seront pas attribuées.
Les chercheurs en sécurité qui s’inscrivent au programme disposent d’un environnement de laboratoire contrôlé dans lequel ils peuvent utiliser des exploits pour capturer des indicateurs. Cependant, contrairement à d’autres programmes de récompense des vulnérabilités, kvmCTF se concentre sur les vulnérabilités zero-day et ne récompensera pas les exploits ciblant les vulnérabilités connues.
Les niveaux de récompense pour kvmCTF sont les suivants:
- Évasion complète de la VM: 250 000 $
- Écriture arbitraire en mémoire: 100 000 $
- Lecture arbitraire de la mémoire: 50 000 $
- Écriture de mémoire relative: 50 000 $
- Déni de service: 20 000 $
- Mémoire relative lue: 10 000 $
L’infrastructure kvmCTF est hébergée sur l’environnement Bare Metal Solution (BMS) de Google, soulignant l’engagement du programme envers des normes de sécurité élevées.
« Les participants pourront réserver des créneaux horaires pour accéder à la machine virtuelle invitée et tenter d’effectuer une attaque d’invité à hôte. Le but de l’attaque doit être d’exploiter une vulnérabilité zero day dans le sous-système KVM du noyau hôte », a déclaré Marios Pomonis, ingénieur logiciel chez Google.
« En cas de succès, l’attaquant obtiendra un indicateur prouvant son exploit dans l’exploitation de la vulnérabilité. La gravité de l’attaque déterminera le montant de la récompense, qui sera basé sur le système de niveaux de récompense expliqué ci-dessous. Tous les rapports seront soigneusement évalués au cas par cas. »
Google ne recevra les détails des vulnérabilités zero-day découvertes qu’après la publication des correctifs en amont, garantissant que les informations sont partagées simultanément avec la communauté open source.
Pour commencer, les participants doivent passer en revue les règles kvmCTF, qui incluent des informations sur la réservation de créneaux horaires, la connexion à la machine virtuelle invitée, l’obtention d’indicateurs, le mappage de diverses violations KASAN aux niveaux de récompense, ainsi que des instructions détaillées sur le signalement des vulnérabilités.