Google ha lanzado kvmCTF, un nuevo programa de recompensas por vulnerabilidades (VRP) anunciado en octubre de 2023, diseñado para mejorar la seguridad del hipervisor de máquina virtual basada en kernel (KVM). El programa ofrece recompensas de hasta $250,000 por exploits completos de escape de VM.
Importancia de KVM
KVM, un hipervisor de código abierto con más de 17 años de desarrollo, es esencial en entornos empresariales y de consumo, impulsando plataformas como Android y Google Cloud. Google, un colaborador clave de KVM, creó kvmCTF para identificar y corregir vulnerabilidades, reforzando esta capa de seguridad vital.
Objetivo del Programa kvmCTF
Similar al programa de recompensas kernelCTF de Google, que se centra en las fallas de seguridad del kernel de Linux, kvmCTF se enfoca en errores accesibles a las máquinas virtuales en el hipervisor KVM. El objetivo principal es ejecutar ataques exitosos de huésped a host, excluyendo vulnerabilidades QEMU o de host a KVM.
Detalles del Programa
Los investigadores de seguridad inscritos en kvmCTF reciben un entorno de laboratorio controlado para usar exploits y capturar señales. A diferencia de otros programas, kvmCTF se centra en vulnerabilidades de día cero y no recompensará exploits dirigidos a vulnerabilidades conocidas.
Niveles de Recompensa
- Escape completo de VM: $250,000
- Escritura de memoria arbitraria: $100,000
- Lectura de memoria arbitraria: $50,000
- Escritura de memoria relativa: $50,000
- Denegación de servicio: $20,000
- Lectura de memoria relativa: $10,000
Infraestructura y Procedimiento
La infraestructura de kvmCTF está alojada en el entorno Bare Metal Solution (BMS) de Google, subrayando el compromiso del programa con altos estándares de seguridad. «Los participantes podrán reservar franjas horarias para acceder a la máquina virtual invitada e intentar realizar un ataque de invitado a host», explicó Marios Pomonis, ingeniero de software de Google.
Proceso de Evaluación y Divulgación
Los ataques exitosos permitirán al atacante obtener una bandera que demuestre su logro. La gravedad del ataque determinará la recompensa, evaluada caso por caso. Google recibirá detalles de las vulnerabilidades de día cero solo después de que se publiquen los parches ascendentes, garantizando la compartición simultánea con la comunidad de código abierto.
Cómo Participar
Para comenzar, los participantes deben revisar las reglas de kvmCTF, que incluyen información sobre la reserva de franjas horarias, la conexión a la máquina virtual invitada, la obtención de marcas, y la asignación de infracciones de KASAN a los niveles de recompensa, además de instrucciones detalladas sobre cómo informar vulnerabilidades.
Este programa destaca el compromiso de Google con la seguridad y la colaboración abierta para mantener entornos más seguros.
Fuente: BleepingComputer
