През последните месеци Google обърна специално внимание на проблемите със сигурността намерен в ядрото Linux и KubernetesКакто през ноември миналата година, Google увеличи размера на изплащанията, тъй като компанията утрои възнагражденията за експлоатиране за неизвестни досега грешки в ядрото на Linux.
Идеята беше хората да открият нови начини за експлоатация на ядрото, особено по отношение на Kubernetes, работещ в облака. Сега Google съобщава, че програмата за откриване на грешки е била успешна, като е получила девет доклада за три месеца и е изплатила повече от 175,000 XNUMX долара на изследователите.
И това е чрез публикация в блог Google отново пусна съобщение за разширяване на инициативата да плащате парични награди за идентифициране на проблеми със сигурността в ядрото на Linux, платформата за оркестриране на контейнери Kubernetes, Google Kubernetes Engine (GKE) и конкурентната среда за уязвимост на Kubernetes Capture the Flag (kCTF).
В публикацията се споменава това сега програмата за награди включва допълнителен бонус $20,000 XNUMX за уязвимости от нулев ден за експлойти, които не изискват поддръжка на потребителско пространство от имена и за демонстриране на нови техники за експлойт.
Основното изплащане за демонстриране на работещ експлойт в kCTF е $31 337 (базовото изплащане се присъжда на участника, който първи демонстрира работещ експлойт, но бонус изплащания могат да бъдат приложени към последващи експлойти за същата уязвимост).
Увеличихме наградите си, защото осъзнахме, че за да привлечем вниманието на общността, трябва да съпоставим нашите награди с техните очаквания. Смятаме, че разширяването е било успешно и затова бихме искали да го удължим още поне до края на годината (2022 г.).
През последните три месеца получихме 9 заявки и до момента сме платили над $175 000.
В публикацията виждаме това обща сума, като се вземат предвид бонусите, максималната награда за експлоат (проблеми, идентифицирани въз основа на анализ на корекции на грешки в кодовата база, които не са изрично маркирани като уязвимости) може да достигне до $71 337 (преди това най-високата награда беше $31 337), а за проблем с нулев ден (проблеми, за които все още няма решение) се плаща до $91,337 50,337 (по-рано най-високата награда беше $XNUMX XNUMX). Програмата за плащане ще бъде валидна до 31 декември 2022 г.
Прави впечатление, че през последните три месеца, Google е обработил 9 заявки cс информация за уязвимости, за които са платени 175 хиляди долара.
Участващите изследователи подготвиха пет експлойта за уязвимости от нулев ден и две за уязвимости от 1 ден. Три фиксирани проблема в ядрото на Linux бяха публично разкрити (CVE-2021-4154 в cgroup-v1, CVE-2021-22600 в af_packet и CVE-2022-0185 във VFS) (тези проблеми вече са идентифицирани чрез Syzkaller и за два бяха добавени корекции на грешки към ядрото).
Тези промени увеличават някои 1-дневни експлойти до $71 (спрямо $337) и правят максималната награда за един експлоат $31 (спрямо $337). Ние също така ще платим дори за дубликати най-малко $91 337, ако демонстрират нови техники за експлоатиране (вместо $50). Ние обаче също така ще ограничим броя на наградите за 337 ден до само една за версия/комплектация.
Има 12-18 издания на GKE годишно във всеки канал и имаме две групи на различни канали, така че ще плащаме базовите награди от 31 337 USD до 36 пъти (без ограничение за бонуси). Въпреки че не очакваме всяка актуализация да има валидна 1-дневна доставка, бихме искали да чуем друго.
Като такъв е посочено в съобщението, че сумата на плащанията зависи от няколко фактора: ако откритият проблем е уязвимост от нулев ден, ако изисква непривилегировани потребителски пространства от имена, ако използва някои нови методи за експлоатация. Всяка от тези точки идва с бонус от $ 20,000, което в крайна сметка повишава плащането за работещ експлойт до $ 91,337.
Накрая sАко се интересувате да научите повече за него относно бележката, можете да проверите подробностите в оригиналната публикация В следващия линк.