Selama beberapa bulan terakhir Google telah memberikan perhatian khusus pada masalah keamanan ditemukan di kernel Linux dan KubernetesSeperti pada November tahun lalu, Google meningkatkan ukuran pembayaran karena perusahaan mengeksploitasi tiga kali lipat hadiah untuk bug yang sebelumnya tidak diketahui di kernel Linux.
Idenya adalah agar orang dapat menemukan cara baru untuk mengeksploitasi kernel, khususnya terkait dengan Kubernetes yang berjalan di cloud. Google sekarang melaporkan bahwa program pencarian bug telah sukses, menerima sembilan laporan dalam tiga bulan dan mengucurkan lebih dari $175,000 kepada para peneliti.
Dan itu melalui posting blog Google kembali merilis pengumuman tentang perluasan inisiatif untuk membayar hadiah uang tunai untuk mengidentifikasi masalah keamanan di kernel Linux, platform orkestrasi container Kubernetes, Google Kubernetes Engine (GKE), dan lingkungan persaingan kerentanan Kubernetes Capture the Flag (kCTF).
Postingan tersebut menyebutkan bahwa sekarang program hadiah termasuk bonus tambahan $20,000 untuk kerentanan zero-day untuk eksploitasi yang tidak memerlukan dukungan namespace pengguna dan untuk mendemonstrasikan teknik eksploitasi baru.
Pembayaran dasar untuk mendemonstrasikan eksploitasi yang berfungsi di kCTF adalah $31 (pembayaran dasar diberikan kepada peserta yang pertama kali menunjukkan eksploitasi yang berhasil, tetapi pembayaran bonus dapat diterapkan ke eksploitasi berikutnya untuk kerentanan yang sama).
Kami meningkatkan penghargaan kami karena kami menyadari bahwa untuk menarik perhatian komunitas, kami perlu mencocokkan penghargaan kami dengan harapan mereka. Kami menilai ekspansi tersebut sukses, sehingga kami ingin memperpanjangnya setidaknya sampai akhir tahun (2022).
Selama tiga bulan terakhir, kami telah menerima 9 kiriman dan sejauh ini telah membayar lebih dari $175.
Dalam publikasi kita dapat melihat bahwa total, mempertimbangkan bonus, hadiah maksimum untuk sebuah eksploitasi (masalah yang diidentifikasi berdasarkan analisis perbaikan bug di basis kode yang tidak secara eksplisit ditandai sebagai kerentanan) dapat mencapai hingga $71 (sebelumnya hadiah tertinggi adalah $31), dan untuk masalah zero-day (masalah yang belum ada solusi) hingga $337 dibayarkan (sebelumnya hadiah tertinggi adalah $91,337). Program pembayaran berlaku hingga 31 Desember 2022.
Perlu diketahui, dalam tiga bulan terakhir, Google telah memproses 9 permintaan cdengan informasi tentang kerentanan, yang dibayarkan 175 ribu dolar.
Peneliti yang berpartisipasi menyiapkan lima eksploitasi untuk kerentanan zero-day dan dua untuk kerentanan 1 hari. Tiga masalah tetap di kernel Linux telah diungkapkan secara publik (CVE-2021-4154 di cgroup-v1, CVE-2021-22600 di af_packet dan CVE-2022-0185 di VFS) (masalah ini telah diidentifikasi melalui Syzkaller dan untuk kernel perbaikan ditambahkan untuk dua masalah).
Perubahan ini meningkatkan beberapa eksploitasi 1 hari menjadi $71 (vs. $337) dan menghasilkan hadiah maksimum untuk satu eksploitasi $31 (vs. $337). Kami juga akan membayar bahkan untuk duplikat setidaknya $91 jika mereka menunjukkan teknik eksploitasi baru (bukan $337). Namun, kami juga akan membatasi jumlah hadiah selama 50 hari menjadi hanya satu per versi/build.
Ada 12-18 rilis GKE per tahun di setiap saluran, dan kami memiliki dua grup di saluran yang berbeda, jadi kami akan membayar hadiah dasar sebesar 31 USD hingga 337 kali (tidak ada batasan untuk bonus). Meskipun kami tidak mengharapkan setiap pembaruan memiliki pengiriman 36 hari yang valid, kami ingin mendengar sebaliknya.
Karena itu disebutkan dalam pengumuman bahwa jumlah pembayaran tergantung pada beberapa faktor: jika masalah yang ditemukan adalah kerentanan zero-day, jika memerlukan ruang nama pengguna yang tidak memiliki hak istimewa, jika menggunakan beberapa metode eksploitasi baru. Masing-masing poin ini dilengkapi dengan bonus $ 20,000, yang pada akhirnya meningkatkan pembayaran untuk eksploitasi kerja ke $ 91,337.
Akhirnya sJika Anda tertarik untuk mengetahui lebih banyak tentangnya tentang catatan, Anda dapat memeriksa detailnya di pos asli Di tautan berikut.