Google lancia kvmCTF: $250.000 per vulnerabilità Zero-Day

Google ha recentemente annunciato il lancio di kvmCTF, un nuovo programma di bug bounty dedicato alla sicurezza di KVM (Kernel-based Virtual Machine), l'hypervisor open-source utilizzato per la virtualizzazione delle macchine. Il programma, rivelato a ottobre 2023, offre premi significativi per l'individuazione e la correzione di vulnerabilità zero-day.

KVM, che ha una presenza consolidata da oltre 17 anni, è fondamentale sia in ambito consumer che enterprise, alimentando piattaforme cruciali come Android e Google Cloud. Google, un grande contributore di KVM, ha creato kvmCTF per rafforzare la collaborazione nella comunità della sicurezza informatica e migliorare ulteriormente questo strato di protezione vitale.

Il programma kvmCTF è simile a kernelCTF, che si concentra sulle vulnerabilità del kernel Linux, ma con un focus specifico sui bug che sono accessibili alle macchine virtuali all'interno dell'hypervisor KVM. L'obiettivo principale è identificare e sfruttare attacchi guest-to-host, ovvero dalla macchina virtuale all'host. Vulnerabilità legate a QEMU (emulatore di processore) o attacchi host-to-KVM non saranno premiate.

I ricercatori di sicurezza che partecipano al programma avranno accesso a un ambiente di laboratorio controllato per testare exploit e catturare flag. A differenza di altri programmi simili, kvmCTF si concentra esclusivamente su vulnerabilità zero-day, non premiando exploit per falle già note.

Ecco le ricompense offerte dal programma

Le ricompense offerte dal programma sono suddivise in base alla gravità delle vulnerabilità scoperte:

• Escape completo dalla macchina virtuale: $250.000
• Scrittura arbitraria in memoria: $100.000
• Lettura arbitraria di memoria: $50.000
• Scrittura relativa di memoria: $50.000
• Denial of service (DoS): $20.000
• Lettura relativa di memoria: $10.000

L'infrastruttura di kvmCTF è ospitata sulla Bare Metal Solution (BMS) di Google, sottolineando l'impegno verso standard di sicurezza elevati. I partecipanti potranno prenotare fasce orarie per accedere alla macchina virtuale ospite e tentare un attacco guest-to-host. L'obiettivo è sfruttare una vulnerabilità zero-day nel sottosistema KVM del kernel dell'host.

Marios Pomonis, software engineer di Google, ha spiegato:

In caso di successo, l'attaccante otterrà un flag che comprova lo sfruttamento della vulnerabilità. La gravità dell'attacco determinerà l'ammontare della ricompensa, basata sul sistema a livelli spiegato in precedenza. Tutti i report verranno valutati attentamente caso per caso.

Per garantire la sicurezza e la trasparenza, Google riceverà i dettagli delle vulnerabilità zero-day scoperte solo dopo il rilascio delle patch ufficiali, assicurando la condivisione simultanea delle informazioni con la comunità open-source. Per partecipare, i ricercatori devono consultare le regole di kvmCTF, che includono informazioni dettagliate sulla prenotazione degli slot, la connessione alla macchina virtuale ospite, l'ottenimento di flag, l'associazione di violazioni KASAN ai livelli di ricompensa e le istruzioni dettagliate sulla segnalazione delle vulnerabilità.