Google, ilk olarak Ekim 2023’te Çekirdek tabanlı Sanal Makine (KVM) hipervizörünün güvenliğini artırmak için duyurulan ve tam VM kaçış istismarları için 250.000 ABD doları ödül içeren yeni bir güvenlik açığı ödül programı (VRP) olan kvmCTF’yi başlattı.
17 yıldan uzun süredir geliştirilmekte olan açık kaynaklı bir hipervizör olan KVM, Android ve Google Cloud platformlarına güç veren, tüketici ve kurumsal ortamlarda önemli bir bileşendir.
KVM’ye aktif ve önemli bir katkıda bulunan Google, bu hayati güvenlik katmanını güçlendirerek güvenlik açıklarını belirlemeye ve gidermeye yardımcı olmak için iş birliğine dayalı bir platform olarak kvmCTF’yi geliştirdi.
Linux çekirdek güvenlik açıklarını hedef alan Google’ın kernelCTF güvenlik açığı ödül programı gibi, kvmCTF de Çekirdek Tabanlı Sanal Makine (KVM) hipervizöründeki VM’den erişilebilen hatalara odaklanır.
Amaç, konuktan ana bilgisayara başarılı saldırılar gerçekleştirmektir ve QEMU veya ana bilgisayardan KVM’ye yönelik güvenlik açıkları ödüllendirilmeyecektir.
Programa kaydolan güvenlik araştırmacılarına, bayrakları yakalamak için istismarları kullanabilecekleri kontrollü bir laboratuvar ortamı sağlanır. Ancak, diğer güvenlik açığı ödül programlarının aksine, kvmCTF sıfırıncı gün güvenlik açıklarına odaklanır ve bilinen güvenlik açıklarını hedef alan istismarları ödüllendirmez.
KvmCTF için ödül kademeleri şu şekildedir:
- Tam VM kaçışı: 250.000 $
- Keyfi hafıza yazma: 100.000$
- Rastgele hafızada okunan: 50.000 dolar
- Bağıl bellek yazma: 50.000 $
- Hizmet reddi: 20.000 $
- Göreceli hafıza okundu: 10.000 $
KvmCTF altyapısı, Google’ın Bare Metal Solution (BMS) ortamında barındırılıyor ve bu da programın yüksek güvenlik standartlarına olan bağlılığını vurguluyor.
Google yazılım mühendisi Marios Pomonis, “Katılımcılar konuk VM’ye erişmek için zaman aralıkları ayırabilecek ve konuktan ana bilgisayara saldırı gerçekleştirmeyi deneyebilecek. Saldırının amacı, ana bilgisayar çekirdeğinin KVM alt sistemindeki sıfır günlük bir güvenlik açığını istismar etmek olmalı” dedi.
“Başarılı olursa, saldırgan zaafı istismar etmedeki başarısını kanıtlayan bir bayrak elde edecektir. Saldırının ciddiyeti, aşağıda açıklanan ödül kademesi sistemine dayalı olacak ödül miktarını belirleyecektir. Tüm raporlar vaka bazında ayrıntılı olarak değerlendirilecektir.”
Google, keşfedilen sıfır günlük güvenlik açıklarının ayrıntılarını yalnızca üst düzey yamalar yayınlandıktan sonra alacak ve bu sayede bilgilerin açık kaynak topluluğuyla eş zamanlı olarak paylaşılması sağlanacak.
Başlamak için katılımcıların, zaman aralıklarını ayırma, konuk VM’ye bağlanma, bayrakları edinme, çeşitli KASAN ihlallerini ödül kademelerine eşleme ve güvenlik açıklarını bildirme hakkında ayrıntılı talimatlar içeren kvmCTF kurallarını incelemeleri gerekir.