Компания Google анонсировала новую Bug Bounty программу с вознаграждениями за обнаружение уязвимостей в гипервизоре Kernel-based Virtual Machine (KVM). Программа получила название kvmCTF.
Программа вознаграждения за обнаруженные ошибки работает по принципу CTF-мероприятия: участники могут зарезервировать временные интервалы для доступа к гостевой виртуальной машине, размещенной в лабораторной среде, и попытаться провести атаку «гость-хост».
Google надеется, что проект поможет выявить утечки виртуальной машины, ошибки выполнения произвольного кода, проблемы раскрытия информации и ошибки отказа в обслуживании (DoS).
«Целью атаки должно быть использование уязвимости нулевого дня в подсистеме KVM ядра хоста. В случае успеха злоумышленник получит флаг, который доказывает его достижение в эксплуатации уязвимости», — пояснил Google в своем блоге.
Наибольшее вознаграждение в размере 250 000 долларов можно получить за полный выход из виртуальной машины. Участники могут получить также 100 000 долларов за произвольную запись в память и 50 000 долларов за произвольное чтение памяти или относительную запись в память. DoS-атаки могут принести до 20 000 долларов, а относительные ошибки чтения памяти — до 10 000 долларов.
Программное решение KVM широко используется как в потребительских, так и в корпоративных продуктах, в том числе на платформах Android и Google Cloud, поэтому интернет-гигант хочет повысить безопасность гипервизора. Компания активно работает над новыми путями усиления информационной безопасности, чтобы минимизировать негативное воздействие на свои продукты.
