Google pagará entre $ 20,000 y $ 91,337 a los investigadores que creen explotaciones de vulnerabilidades en el kernel de Linux, el sistema de administración de contenedores Kubernetes y Kubernetes Engine de Google Cloud.
Esto se basa en la recompensa de tres meses que Google presentó en noviembre, donde triplicó las recompensas por exploits contra errores del kernel de Linux nuevos y previamente desconocidos. La idea era que la multitud descubriera nuevas técnicas de explotación del kernel, en particular para los servicios que se ejecutan en Kubernetes en la nube.
Los investigadores necesitaban demostrar que podían usar el exploit para un error determinado para comprometer el grupo kCTF (Kubernetes Capture The Flag) de Google y obtener una ‘bandera’, un secreto oculto en un programa, dentro del contexto de una competencia, que en este El caso se llevó a cabo en el clúster de Google.
VER: Ciberseguridad: pongámonos tácticos (Informe especial de MarketingyPublicidad.es)
Google consideró que el programa ampliado fue un éxito, por lo que lo extenderá al menos hasta fines de 2022. Pero también realizó una serie de cambios, que cubren reglas, condiciones y recompensas.
Primero, el programa actualizado y extendido aumenta la recompensa máxima por un solo exploit de $50,337 a $91,377.
En cuanto al éxito de la prueba existente, Google dijo que recibió nueve presentaciones en los tres meses y pagó más de $175,000 en recompensas. Las presentaciones incluyeron cinco días cero o fallas previamente desconocidas y dos exploits para ‘1 día’ o fallas recién descubiertas. Tres se han arreglado y hecho públicos, incluidos CVE-2021-4154, CVE-2021-22600 (parche) y CVE-2022-0185 (redacción), según Google.
Google está cambiando la estructura de recompensas «ligeramente». Ahora pagará $ 31,337 «al primer envío de explotación válido para una vulnerabilidad determinada» y no pagará nada por las explotaciones duplicadas.
Sin embargo, dice que algunas bonificaciones aún pueden aplicarse a exploits duplicados. Estos incluyen: $ 20,000 para explotaciones de vulnerabilidades de 0 días; $20,000 para explotaciones de vulnerabilidades que no requieren espacios de nombres de usuario sin privilegios (CLONE_NEWUSER); y $ 20,000 por exploits que utilizan técnicas de exploit novedosas (anteriormente no pagaba nada por esto).
«Estos cambios aumentan algunos exploits de 1 día a 71 337 USD (frente a 31 337 USD) y hacen que la recompensa máxima por un solo exploit sea de 91 337 USD (frente a 50 337 USD)», señala Google.
Sobre lo que considera técnicas novedosas, Google explica que es para ofertas «poderosas»:
«[N]Una nueva técnica podría ser la explotación de objetos previamente desconocidos para transformar una primitiva limitada en una más poderosa, como una lectura/escritura arbitraria/fuera de los límites o libre arbitraria. Por ejemplo, en todos nuestros envíos, los investigadores aprovecharon las colas de mensajes para lograr filtraciones de información del kernel.
«Estamos buscando técnicas igualmente poderosas que permitan ‘conectar’ los exploits de montón y permitir inmediatamente el acceso al kernel. Otro ejemplo es eludir una mitigación de seguridad común o una técnica para explotar una clase de vulnerabilidades de manera más confiable».
Esta recompensa por errores de explotación del kernel de Linux es una pequeña parte de los programas generales de recompensa por vulnerabilidad de Google que cubren Android, Chrome y otros proyectos de código abierto. En 2021, Google pagó 8,7 millones de dólares en recompensas, de los cuales 2,9 millones de dólares fueron por errores de Android y 3,3 millones de dólares por errores de Chrome. Las recompensas totales del año pasado aumentaron de $ 6,7 millones en 2020.