Google a lancé une prime spéciale de trois mois pour les bogues ciblant les failles du noyau Linux avec le triple des récompenses pour les chercheurs en sécurité.
La nouvelle prime, annoncé cette semaine, cherche à durcir le noyau Linux dans des cas particuliers. Il offre jusqu’à 31 337 $ (Leet) aux chercheurs en sécurité qui peuvent exploiter l’escalade de privilèges dans l’environnement de laboratoire de Google avec une vulnérabilité corrigée ; et 50 337 $ pour toute personne pouvant trouver une faille non divulguée ou zero-day, ou pour découvrir une nouvelle technique d’exploitation.
« Nous investissons constamment dans la sécurité du noyau Linux car une grande partie d’Internet et de Google – des appareils dans nos poches aux services exécutés sur Kubernetes dans le cloud – dépendent de la sécurité de celui-ci », a déclaré Eduardo Vela de l’équipe Google Bug Hunters.
Le noyau Linux — éclos comme passe-temps par Linus Torvalds à Helsinki il y a 30 ans – alimente désormais la plupart des principaux sites Web et infrastructures Internet, d’AWS à Microsoft Azure, Google, Facebook et Wikipedia.
Les récompenses de base de Google pour chaque vulnérabilité corrigée publiquement sont de 31 337 $, plafonnées à un exploit par vulnérabilité. Cependant, la récompense peut aller jusqu’à 50 337 $ si le bogue n’a pas été corrigé dans le noyau Linux (un jour zéro) ; ou si l’exploit utilise une nouvelle attaque ou technique du point de vue de Google.
« Nous espérons que les nouvelles récompenses encourageront la communauté de la sécurité à explorer de nouvelles techniques d’exploitation du noyau pour obtenir une élévation des privilèges et apporter des correctifs plus rapides à ces vulnérabilités », a déclaré Vela.
Il ajoute que « les primitives d’exploitation les plus simples ne sont pas disponibles dans notre environnement de laboratoire en raison du durcissement effectué sur Système d’exploitation optimisé pour les conteneurs. » Il s’agit d’un système d’exploitation basé sur Chromium pour les machines virtuelles Google Compute Engine conçu pour s’exécuter sur des conteneurs Docker.
Cependant, étant donné que cette prime de trois mois complète les récompenses VRP d’Android, les exploits qui fonctionnent sur Android pourraient également être éligibles jusqu’à 250 000 $ (c’est en plus de ce programme).
L’environnement Google a des exigences spécifiques qui ont été démontrées par l’ingénieur en sécurité de Google, Andy Nguyen, qui a trouvé le bogue BleedingTooth de 15 ans (CVE-2021-22555) dans la pile Bluetooth de Linux.
Ce bogue était une vulnérabilité d’écriture hors limites dans Linux Netfilter qui pouvait contourner toutes les atténuations de sécurité modernes, réaliser l’exécution du code du noyau et briser l’isolement du pod Kubernetes du cluster kCTF (capturer le drapeau) utilisé pour les compétitions de sécurité. Nguyen détaille son travail dans un article sur GitHub.
Vela recommande aux participants d’inclure également un patch s’ils veulent de l’argent supplémentaire via son programme de récompense Patch.
Compte tenu de la nature du développement de logiciels open source, Google note qu’il ne souhaite pas recevoir de détails sur les vulnérabilités non corrigées avant qu’elles n’aient été divulguées publiquement et corrigées. Les chercheurs doivent fournir le code d’exploitation et l’algorithme utilisé pour calculer l’identifiant. Il aimerait cependant recevoir une description approximative de la stratégie d’exploitation.