تزيد Google من المكافآت لتحديد الثغرات الأمنية في Linux و Kubernetes

Darkcrizt

4 دقيقة

خلال الأشهر الماضية أولت Google اهتمامًا خاصًا لقضايا الأمان وجدت في النواة Linux و Kubernetesكما في نوفمبر من العام الماضي ، زادت Google حجم المدفوعات حيث ضاعفت الشركة ثلاث مرات استغلال المكافآت للأخطاء التي لم تكن معروفة سابقًا في نواة Linux.

كانت الفكرة أن يكتشف الناس طرقًا جديدة لاستغلال النواة ، خاصة فيما يتعلق بـ Kubernetes الذي يعمل في السحابة. تشير Google الآن إلى أن برنامج اكتشاف الأخطاء قد حقق نجاحًا ، حيث تلقت تسعة تقارير في ثلاثة أشهر وصرفت أكثر من 175,000 دولار للباحثين.

وذلك من خلال منشور مدونة أصدرت Google مرة أخرى إعلانًا عن توسيع المبادرة لدفع مكافآت نقدية لتحديد مشكلات الأمان في بيئة منافسة الثغرات الأمنية Kubernetes و Kubernetes و Kubernetes Engine (GKE) و Kubernetes Capture the Flag (kCTF).

آخر يذكر ذلك الآن برنامج المكافآت يتضمن مكافأة إضافية 20,000 دولار أمريكي مقابل ثغرات يوم الصفر لعمليات الاستغلال التي لا تتطلب دعم مساحة اسم المستخدم ولإظهار تقنيات استغلال جديدة.

العائد الأساسي لإثبات استغلال العمل في kCTF هو 31 دولارًا (يتم منح العائد الأساسي للمشارك الذي أظهر أولاً استغلالًا عمليًا ، ولكن يمكن تطبيق مدفوعات المكافآت على عمليات الاستغلال اللاحقة لنفس الثغرة الأمنية).

لقد زدنا مكافآتنا لأننا أدركنا أنه من أجل جذب انتباه المجتمع ، نحتاج إلى مطابقة مكافآتنا مع توقعاتهم. نعتبر أن التوسع كان ناجحًا ، ولذلك نود تمديده على الأقل حتى نهاية العام (2022).
خلال الأشهر الثلاثة الماضية ، تلقينا 9 عروض ودفعنا أكثر من 175 دولار حتى الآن.

في المنشور يمكننا أن نرى ذلك مجموع، مع الأخذ بعين الاعتبار المكافآت ، أقصى مكافأة مقابل استغلال (المشكلات التي تم تحديدها بناءً على تحليل إصلاحات الأخطاء في قاعدة التعليمات البرمجية التي لم يتم تمييزها صراحة على أنها ثغرات أمنية) يمكن أن تصل إلى 71 دولارًا (كانت أعلى مكافأة في السابق 31 دولارًا أمريكيًا) ، وبالنسبة لمشكلة يوم الصفر (المشكلات التي لا يوجد حل لها بعد) يتم دفع ما يصل إلى 337 دولارًا (كانت أعلى مكافأة سابقًا كانت 91,337 دولارًا). سيكون برنامج الدفع ساري المفعول حتى 31 ديسمبر 2022.

يشار إلى أنه في الأشهر الثلاثة الماضية ، قامت Google بمعالجة 9 طلبات جبمعلومات عن نقاط الضعف ، والتي تم دفع 175 ألف دولار عنها.

أعد الباحثون المشاركون خمس برمجيات إكسبلويت لثغرات يوم الصفر واثنتان لثغرات يوم واحد. تم الكشف علنًا عن ثلاث مشكلات ثابتة في Linux kernel (CVE-1-2021 في cgroup-v4154 و CVE-1-2021 في af_packet و CVE-22600-2022 في VFS) (تم تحديد هذه المشكلات بالفعل عبر Syzkaller ولأثنين تمت إضافة إصلاحات الأخطاء إلى kernel).

تزيد هذه التغييرات من بعض عمليات استغلال الثغرات ليوم واحد إلى 1 دولارًا (مقابل 71 دولارًا) وتحقق أقصى مكافأة مقابل استغلال واحد 337 دولارًا (مقابل 31 دولارًا). سندفع أيضًا حتى مقابل النسخ المكررة ما لا يقل عن 337 دولار إذا أظهروا تقنيات استغلال جديدة (بدلاً من 91 دولار). ومع ذلك ، سنقوم أيضًا بتحديد عدد المكافآت ليوم واحد إلى واحد فقط لكل إصدار / بناء.

هناك 12-18 إصدارًا من GKE سنويًا على كل قناة ، ولدينا مجموعتان على قنوات مختلفة ، لذلك سندفع المكافآت الأساسية البالغة 31 دولارًا أمريكيًا حتى 337 مرة (لا يوجد حد للمكافآت). بينما لا نتوقع أن يكون لكل تحديث شحن صالح ليوم واحد ، نود أن نسمع خلاف ذلك.

على هذا النحو ، ورد في الإعلان أن مجموع المدفوعات يعتمد على عدة عوامل: إذا كانت المشكلة التي تم العثور عليها هي ثغرة يوم الصفر ، إذا كانت تتطلب مساحات أسماء مستخدمين غير مميزة ، إذا كانت تستخدم بعض طرق الاستغلال الجديدة. كل نقطة من هذه النقاط تأتي مع مكافأة قدرها $ 20,000 ، الأمر الذي يؤدي في النهاية إلى زيادة الدفع مقابل استغلال العمل لـ $ 91,337.

أخيرا sإذا كنت مهتمًا بمعرفة المزيد عنها حول الملاحظة ، يمكنك التحقق من التفاصيل في المنشور الأصلي في الرابط التالي.


اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.