Google a lancé kvmCTF, un nouveau programme de récompense de vulnérabilité (VRP) annoncé pour la première fois en octobre 2023 pour améliorer la sécurité de l'hyperviseur Kernel-based Virtual Machine (KVM) qui comprend des primes de 250 000 $ pour les exploits d'évasion de VM complets.
KVM, un hyperviseur open source avec plus de 17 ans de développement, est un composant crucial dans les environnements grand public et d'entreprise, alimentant les plates-formes Android et Google Cloud.
Contributeur actif et clé de KVM, Google a développé kvmCTF comme une plateforme collaborative pour aider à identifier et à corriger les vulnérabilités, renforçant ainsi cette couche de sécurité vitale.
Tout comme le programme de récompense des vulnérabilités kernelCTF de Google, qui cible les failles de sécurité du noyau Linux, kvmCTF se concentre sur les bogues accessibles par VM dans l'hyperviseur de machine virtuelle basée sur le noyau (KVM).
L'objectif est d'exécuter des attaques invité-à-hôte réussies, et les vulnérabilités QEMU ou hôte-à-KVM ne seront pas récompensées.
Les chercheurs en sécurité qui s'inscrivent au programme bénéficient d'un environnement de laboratoire contrôlé dans lequel ils peuvent utiliser des exploits pour capturer des signaux d'alerte. Cependant, contrairement à d'autres programmes de récompense de vulnérabilité, kvmCTF se concentre sur les vulnérabilités zero-day et ne récompensera pas les exploits ciblant les vulnérabilités connues.
Les niveaux de récompense pour kvmCTF sont les suivants :
- Évasion complète de la machine virtuelle : 250 000 $
- Écriture de mémoire arbitraire : 100 000 $
- Lecture de mémoire arbitraire : 50 000 $
- Écriture de mémoire relative : 50 000 $
- Déni de service : 20 000 $
- Lecture relative en mémoire : 10 000 $
L'infrastructure kvmCTF est hébergée sur l'environnement Bare Metal Solution (BMS) de Google, soulignant l'engagement du programme envers des normes de sécurité élevées.
« Les participants pourront réserver des créneaux horaires pour accéder à la machine virtuelle invitée et tenter d'effectuer une attaque invité-hôte. L'objectif de l'attaque doit être d'exploiter une vulnérabilité zero-day dans le sous-système KVM du noyau hôte », dit Marios Pomonis, ingénieur logiciel chez Google.
« En cas de succès, l'attaquant obtiendra un signalement prouvant qu'il a réussi à exploiter la vulnérabilité. La gravité de l'attaque déterminera le montant de la récompense, qui sera basé sur le système de niveaux de récompense expliqué ci-dessous. Tous les rapports seront soigneusement évalués au cas par cas. »
Google recevra les détails des vulnérabilités zero-day découvertes uniquement après la publication des correctifs en amont, garantissant ainsi que les informations sont partagées simultanément avec la communauté open source.
Pour commencer, les participants doivent revoir le Règles kvmCTFqui incluent des informations sur la réservation de plages horaires, la connexion à la machine virtuelle invitée, l'obtention d'indicateurs, le mappage de diverses violations KASAN aux niveaux de récompense, ainsi que des instructions détaillées sur le signalement des vulnérabilités.