Durant els últims mesos Google ha prestat especial atenció als problemes de seguretat trobats al Kernel de Linux i Kubernetes, ja que el novembre de l'any passat, Google va augmentar la mida dels pagaments, ja que l'empresa va triplicar les recompenses per exploits per a errors prèviament desconeguts al kernel de Linux.
La idea era que les persones poguessin descobrir noves maneres d'explotar el nucli, en particular en relació amb Kubernetes que sexecuta en el núvol. Google ara informa que el programa de cerca derrors ha estat un èxit, va rebre nou informes en tres mesos i va desemborsar més de $ 175,000 als investigadors.
I és que mitjançant una publicació de bloc Google novament va donar a conèixer un anunci sobre l'expansió de la iniciativa per pagar recompenses en efectiu per identificar problemes de seguretat al nucli de Linux, la plataforma d'orquestració de contenidors Kubernetes, el motor GKE (Google Kubernetes Engine) i l'entorn de competència de vulnerabilitats kCTF (Kubernetes Capture the Flag).
A la publicació s'esmenta que ara el programa de recompenses inclou un bo addicional de $20,000 per vulnerabilitats del tipus zero-day per explotacions que no requereixen suport per a espais de noms dusuari i per demostrar noves tècniques dexplotació.
El pagament base per demostrar un exploit funcional al kCTF és de $31 337 (el pagament base s'atorga al participant que primer demostra un exploit funcional, però els pagaments de bonificació es poden aplicar a exploits posteriors per a la mateixa vulnerabilitat).
Vam augmentar les nostres recompenses perquè vam reconèixer que per atraure l'atenció de la comunitat necessità vem fer coincidir les nostres recompenses amb les expectatives. Considerem que l'expansió ha estat un èxit, i per això ens agradaria estendre-la encara més fins a finals d'any (2022).
Durant els darrers tres mesos, rebem 9 presentacions i paguem més de 175 000 USD fins al moment.
A la publicació podrem veure que en total, tenint en compte les bonificacions, la recompensa mà xima per un exploit (problemes identificats amb base a l'anà lisi de correccions d'errors al codi base que no estan explÃcitament marcats com a vulnerabilitats) pot assolir fins a $71 337 (anteriorment la major recompensa era $31 337), i per un problema del tipus zero-day (problemes per als quals encara no hi ha solució) es paguen fins a $91,337 (anteriorment la major recompensa era $50,337). El programa de pagament tindrà vigència fins al 31 de desembre del 2022.
Es destaca que en els darrers tres mesos, Google ha processat 9 sol·licituds cinformació sobre vulnerabilitats, per les quals es van pagar 175 mil dòlars.
Els investigadors participants van preparar cinc exploits per a vulnerabilitats zero-day i dos per a vulnerabilitats 1day. S'han divulgat públicament tres problemes ja corregits al kernel de Linux (CVE-2021-4154 a cgroup-v1, CVE-2021-22600 a af_packet i CVE-2022-0185 a VFS) (aquests problemes ja es van identificar a través de Syzkaller i per a es van afegir correccions al kernel per a dos problemes).
Aquests canvis augmenten alguns exploits d'1 dia a 71 337 USD (enfront de 31 337 USD) i fan que la recompensa mà xima per un sol exploit sigui de 91 337 USD (enfront de 50 337 USD). També pagarem fins i tot per duplicats almenys 20 USD si demostren tècniques d'explotació noves (en lloc de 000 USD). Tanmateix, també limitarem la quantitat de recompenses per 0 dia a només una per versió/construcció.
Hi ha 12-18 llançaments de GKE per any a cada canal, i tenim dos grups en diferents canals, per la qual cosa pagarem les recompenses base de 31 USD fins a 337 vegades (sense lÃmit per a les bonificacions). Si bé no esperem que cada actualització tingui un enviament và lid de 36 dia, ens encantaria saber el contrari
Com a tal s'esmenta a l'anunci, que la suma dels pagaments depèn de diversos factors: si el problema trobat és una vulnerabilitat zero-day, si requereix espais de noms d'usuari sense privilegis, si utilitzeu alguns mètodes nous d'explotació. Cadascun daquests punts ve amb una bonificació de $ 20,000, que finalment eleva el pagament per un exploit funcional a $ 91,337.
finalment si estàs interessat en poder conèixer més a l'respecte sobre la nota, pots consultar els detalls a la publicació original en el següent enllaç.