Google, Çekirdek tabanlı Sanal Makine (KVM) hipervizörünü açıkça hedef alan yeni bir güvenlik açığı ödül programı (VRP) olan kvmCTF’yi duyurdu.
İlk olarak Ekim 2023’te duyurulan bu girişim, Google’ın Android ve Google Cloud dahil olmak üzere birçok ürününün ayrılmaz bir parçası olan Linux ve KVM gibi temel teknolojilerin güvenliğini artırma konusundaki kararlılığını vurguluyor.
15 yılı aşkın süredir açık kaynaklı olarak geliştirilen sağlam bir hipervizör olan KVM, tüketici ve kurumsal ortamlarda yaygın olarak kullanılıyor.
KVM projesine aktif olarak katkıda bulunan Google, kvmCTF’yi güvenlik açıklarını tespit edip gidermek için iş birlikçi bir platform olarak tasarladı ve böylece bu kritik güvenlik sınırını güçlendirdi.
Program kernelCTF’ye benziyor ancak sıfırıncı gün zafiyetlerine ve daha önce bilinmeyen güvenlik açıklarına odaklanıyor.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo
KvmCTF katılımcıları, giriş yapıp kendi istismarlarını kullanarak bayrakları elde edebilecekleri bir laboratuvar ortamına erişebilecekler.
Program, n günlük güvenlik açıklarını kullanan istismarları ödüllendirmeyecek ve böylece odak noktasının yeni, yamalanmamış güvenlik açıklarını keşfetmeye kalması sağlanacak.
Keşfedilen sıfır günlük güvenlik açıklarına ilişkin ayrıntılar, yalnızca bir üst akış yaması yayınlandıktan sonra Google ile paylaşılacak ve böylece Google’ın bu bilgilere açık kaynak topluluğunun geri kalanıyla aynı anda ulaşması sağlanacaktır.
Ödül Kademeler ve Katılım
KvmCTF programı, aşağıdaki güvenlik açıklarının çeşitli düzeyleri için önemli ödüller sunmaktadır:
- Tam VM kaçışı: 250.000 $
- Keyfi hafıza yazma: 100.000$
- Rastgele hafızada okunan: 50.000 dolar
- Bağıl bellek yazma: 50.000 $
- Hizmet reddi: 20.000 $
- Göreceli hafıza okundu: 10.000 $
Bu güvenlik açıklarının keşfedilmesini kolaylaştırmak için kvmCTF, bellek hatalarının belirlenmesine yardımcı olan Kernel Address Sanitizer (KASAN) etkinleştirilmiş bir ana bilgisayar kullanma seçeneği sunar.
Katılımcılar, tek bir konuk sanal makine çalıştıran çıplak bir sunucuyla kontrollü bir ortamda etkileşime girecekler.
Konuk sanal makineye erişmek için zaman aralıkları ayırabilir ve konuk-ana makine saldırıları deneyerek ana makine çekirdeğinin KVM alt sistemindeki sıfır günlük güvenlik açıklarından yararlanmayı hedefleyebilirler.
Başarılı saldırganlar, başarılarının kanıtı olarak bir bayrak elde edecekler ve saldırının şiddeti ödül miktarını belirleyecek.
Nasıl katılırım
KvmCTF’ye katılmak isteyen kişilerin, zaman aralığı ayırma, konuk VM’e bağlanma ve bayrak edinme konusunda detaylı bilgi veren program kurallarını okumaları gerekmektedir.
Kurallar ayrıca çeşitli KASAN ihlallerinin ödül kademeleriyle eşleştirilmesini açıklıyor ve bir güvenlik açığının bildirilmesine ilişkin talimatlar sunuyor.
Google’ın kvmCTF girişimi, açık kaynaklı teknolojilerin güvenliğini sağlamaya yönelik iş birliğinde önemli bir adım teşkil ediyor.
Google, sıfırıncı gün güvenlik açıklarını keşfedenlere önemli ödüller sunarak, küresel güvenlik topluluğunu, KVM hipervizörünün güvenliğini ve güvenilirliğini artırma misyonuna dahil etmeyi ve bunun da dünya çapındaki kullanıcılara fayda sağlamasını amaçlıyor.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files