Google выплатит от $20 000 до $91 337 исследователям, которые смогут разработать эксплойты для уязвимостей в ядре Linux, системе управления контейнерами Kubernetes и движке Kubernetes Engine в Google Cloud.
Это продолжение трехмесячной баунти-программы, которую Google представила в ноябре, когда было утроено вознаграждение за эксплойты к новым и ранее неизвестным ошибкам ядра Linux. Идея заключалась в том, что масса исследователей с большой вероятностью выявит новые методы атаки ядра, в частности, для сервисов, работающих на Kubernetes в облаке.
В старой программе исследователи должны были показать, что могут использовать эксплойт для определенной ошибки, чтобы скомпрометировать кластер Google kCTF (Kubernetes Capture The Flag) и получить «флаг» - секрет, скрытый в программе - в контексте соревнования, которое в данном случае проводилось на кластере Google.
Google считает расширенную программу успешной, и поэтому продлит ее как минимум до конца 2022 года. Но при этом компания внесла ряд изменений, касающихся правил, условий и вознаграждений.
Во-первых, обновленная и расширенная программа увеличивает максимальное вознаграждение за один эксплойт с $50 337 до $91 377.
По словам Google, за три месяца было получено девять заявок и выплачено более $175 000 в качестве вознаграждения. Среди представленных материалов было пять эксплойтов «нулевого дня» или ранее неизвестных дефектов и два эксплойта «первого дня» или недавно выявленных уязвимостей. Три были исправлены и обнародованы, включая CVE-2021-4154, CVE-2021-22600 (патч) and CVE-2022-0185 (описание), сообщает Google.
Google «немного» меняет структуру вознаграждения. Теперь компания будет выплачивать 31 337 долларов «автору первого подтвержденного эксплойта, представленного для данной уязвимости», и ничего не будет платить за дубликаты.
Однако, по словам компании, некоторые бонусы все еще могут применяться к повторным эксплойтам. К ним относятся: $20,000 за эксплойты для 0-day-уязвимостей, $20,000 за эксплойты для уязвимостей, не требующих пространства имен непривилегированного пользователя (CLONE_NEWUSER) и $20,000 за эксплойты, использующие новые техники (ранее за них ничего не платили).
«Эти изменения увеличивают вознаграждение за некоторые эксплойты до $71 337 (по сравнению с $31 337), а максимальное вознаграждение за один эксплойт составляет $91 337 (по сравнению с $50 337)» - отмечает Google.
Что касается того, что Google считает новыми техниками, компания поясняет, что это касается «мощных» предложений:
«Новой техникой может быть использование ранее неизвестных объектов для преобразования ограниченного примитива в более мощный, например, произвольное/трансграничное чтение/запись или произвольное освобождение. Например, во всех представленных нами материалах исследователи использовали очереди сообщений для достижения утечки информации ядра».
«Мы ищем такие же мощные методы, которые позволят «подключить» heap-эксплойты и сразу же получить доступ к ядру. Другой пример - обход распространенного средства защиты или техника для более надежного использования класса уязвимостей».
Вознаграждение за эксплуатацию уязвимостей ядра Linux является небольшой частью общей баунти-программы Google, охватывающей Android, Chrome и другие проекты с открытым исходным кодом. В 2021 году Google выплатил $8,7 млн, из которых $2,9 млн. были получены за уязвимости Android, а $3,3 млн - за ошибки в Chrome. Общая сумма вознаграждений в прошлом году выросла с $6,7 млн в 2020 году.
Источник: https://www.zdnet.com
