Au cours des derniers mois Google a accordé une attention particulière aux problèmes de sécurité trouvé dans le noyau Linux et KubernetesComme en novembre de l'année dernière, Google a augmenté le montant des paiements alors que la société a triplé les primes d'exploit pour des bogues jusque-là inconnus dans le noyau Linux.
L'idée était que les gens pouvaient découvrir de nouvelles façons d'exploiter le noyau, en particulier en ce qui concerne Kubernetes fonctionnant dans le cloud. Google rapporte maintenant que le programme de recherche de bogues a été un succès, recevant neuf rapports en trois mois et déboursant plus de 175,000 XNUMX $ aux chercheurs.
Et c'est qu'à travers un article de blog Google a de nouveau publié une annonce sur l'expansion de l'initiative pour payer des récompenses en espèces pour l'identification des problèmes de sécurité dans le noyau Linux, la plate-forme d'orchestration de conteneurs Kubernetes, Google Kubernetes Engine (GKE) et l'environnement de concurrence de vulnérabilité Kubernetes Capture the Flag (kCTF).
Le post mentionne que maintenant le programme de récompenses inclut un bonus supplémentaire 20,000 XNUMX $ pour les vulnérabilités zero-day pour les exploits qui ne nécessitent pas de prise en charge de l'espace de noms utilisateur et pour la démonstration de nouvelles techniques d'exploitation.
Le paiement de base pour la démonstration d'un exploit fonctionnel au kCTF est de 31 337 $ (le paiement de base est attribué au participant qui démontre le premier un exploit fonctionnel, mais des paiements bonus peuvent être appliqués aux exploits suivants pour la même vulnérabilité).
Nous avons augmenté nos récompenses parce que nous avons reconnu que pour attirer l'attention de la communauté, nous devions faire correspondre nos récompenses à leurs attentes. Nous considérons que l'expansion a été un succès et nous aimerions donc la prolonger au moins jusqu'à la fin de l'année (2022).
Au cours des trois derniers mois, nous avons reçu 9 soumissions et payé plus de 175 000 $ jusqu'à présent.
Dans la publication, nous pouvons voir que en tout, en tenant compte des bonus, la récompense maximale pour un exploit (problèmes identifiés sur la base de l'analyse des correctifs de bogues dans la base de code qui ne sont pas explicitement marqués comme des vulnérabilités) peut atteindre jusqu'à 71 337 $ (auparavant, la récompense la plus élevée était de 31 337 $), et pour un problème de type zero-day (problèmes pour lesquels il n'existe pas encore de solution), jusqu'à 91,337 50,337 $ sont payés (auparavant, la récompense la plus élevée était de XNUMX XNUMX $). Le programme de paiement sera valable jusqu'au 31 décembre 2022.
Il est à noter qu'au cours des trois derniers mois, Google a traité 9 demandes cavec des informations sur les vulnérabilités, pour lesquelles 175 XNUMX dollars ont été payés.
Les chercheurs participants ont préparé cinq exploits pour les vulnérabilités zero-day et deux pour les vulnérabilités 1-day. Trois problèmes résolus dans le noyau Linux ont été divulgués publiquement (CVE-2021-4154 dans cgroup-v1, CVE-2021-22600 dans af_packet et CVE-2022-0185 dans VFS) (ces problèmes ont déjà été identifiés via Syzkaller et pour le noyau des correctifs ont été ajoutés pour deux problèmes).
Ces changements augmentent certains exploits d'un jour à 1 71 $ (contre 337 31 $) et font la récompense maximale pour un seul exploit de 337 91 $ (contre 337 50 $). Nous paierons également même pour les doublons d'au moins 337 20 $ s'ils démontrent de nouvelles techniques d'exploitation (au lieu de 000 $). Cependant, nous limiterons également le nombre de récompenses pour 0 jour à une seule par version/build.
Il y a 12 à 18 versions de GKE par an sur chaque canal, et nous avons deux groupes sur différents canaux, nous paierons donc les récompenses de base de 31 337 USD jusqu'à 36 fois (pas de limite pour les bonus). Bien que nous ne nous attendions pas à ce que chaque mise à jour ait une expédition valide d'un jour, nous aimerions entendre le contraire.
A ce titre il est mentionné dans l'annonce que la somme des paiements dépend de plusieurs facteurs : si le problème trouvé est une vulnérabilité zero-day, s'il nécessite des espaces de noms d'utilisateurs non privilégiés, s'il utilise de nouvelles méthodes d'exploitation. Chacun de ces points est assorti d'un bonus de 20,000 $, ce qui augmente finalement le paiement d'un exploit de travail à $ 91,337.
Enfin sSi cela vous intéresse d'en savoir plus à propos de la note, vous pouvez vérifier les détails dans le message d'origine dans le lien suivant.