Google aumento las recompensas por identificar vulnerabilidades en Linux y Kubernetes
Durante los últimos meses Google ha prestado especial atención en los problemas de seguridad encontrados en el Kernel de Linux y Kubernetes, ya que en noviembre del año pasado, Google aumentó el tamaño de los pagos, ya que la empresa triplicó las recompensas por exploits para errores previamente desconocidos en el kernel de Linux.
La idea era que las personas pudieran descubrir nuevas formas de explotar el kernel, en particular en relación con Kubernetes que se ejecuta en la nube. Google ahora informa que el programa de búsqueda de errores ha sido un éxito, recibió nueve informes en tres meses y desembolsó más de $ 175,000 a los investigadores.
Y es que mediante una publicación de blog Google nuevamente dio a conocer un anunció sobre la expansión de la iniciativa para pagar recompensas en efectivo por identificar problemas de seguridad en el kernel de Linux, la plataforma de orquestación de contenedores Kubernetes, el motor GKE (Google Kubernetes Engine) y el entorno de competencia de vulnerabilidades kCTF (Kubernetes Capture the Flag).
En la publicación se menciona que ahora el programa de recompensas incluye un bono adicional de $20,000 por vulnerabilidades del tipo zero-day por explotaciones que no requieren soporte para espacios de nombres de usuario y por demostrar nuevas técnicas de explotación.
El pago base por demostrar un exploit funcional en el kCTF es de $31 337 (el pago base se otorga al participante que primero demuestra un exploit funcional, pero los pagos de bonificación se pueden aplicar a exploits posteriores para la misma vulnerabilidad).
Aumentamos nuestras recompensas porque reconocimos que para atraer la atención de la comunidad necesitábamos hacer coincidir nuestras recompensas con sus expectativas. Consideramos que la expansión ha sido un éxito, y por eso nos gustaría extenderla aún más al menos hasta fin de año (2022).
Durante los últimos tres meses, recibimos 9 presentaciones y pagamos más de 175 000 USD hasta el momento.
En la publicación podremos ver que en total, teniendo en cuenta las bonificaciones, la recompensa máxima por un exploit (problemas identificados con base en el análisis de correcciones de errores en el código base que no están explícitamente marcados como vulnerabilidades) puede alcanzar hasta $71 337 (anteriormente la mayor recompensa era $31 337), y por un problema del tipo zero-day (problemas para los que aún no hay solución) se pagan hasta $91,337 (anteriormente la mayor recompensa era $50,337). El programa de pago tendrá vigencia hasta el 31 de diciembre de 2022.
Se destaca que en los últimos tres meses, Google ha procesado 9 solicitudes con información sobre vulnerabilidades, por las cuales se pagaron 175 mil dólares.
Los investigadores participantes prepararon cinco exploits para vulnerabilidades zero-day y dos para vulnerabilidades 1day. Se han divulgado públicamente tres problemas ya corregidos en el kernel de Linux (CVE-2021-4154 en cgroup-v1, CVE-2021-22600 en af_packet y CVE-2022-0185 en VFS) (estos problemas ya se identificaron a través de Syzkaller y para se agregaron correcciones al kernel para dos problemas).
Estos cambios aumentan algunos exploits de 1 día a 71 337 USD (frente a 31 337 USD) y hacen que la recompensa máxima por un solo exploit sea de 91 337 USD (frente a 50 337 USD). También vamos a pagar incluso por duplicados al menos 20 000 USD si demuestran técnicas de explotación novedosas (en lugar de 0 USD). Sin embargo, también limitaremos la cantidad de recompensas por 1 día a solo una por versión/construcción.
Hay 12-18 lanzamientos de GKE por año en cada canal, y tenemos dos grupos en diferentes canales, por lo que pagaremos las recompensas base de 31 337 USD hasta 36 veces (sin límite para las bonificaciones). Si bien no esperamos que cada actualización tenga un envío válido de 1 día, nos encantaría saber lo contrario
Como tal se menciona en el anuncio, que la suma de los pagos depende de varios factores: si el problema encontrado es una vulnerabilidad zero-day, si requiere espacios de nombres de usuario sin privilegios, si utiliza algunos métodos nuevos de explotación. Cada uno de estos puntos viene con una bonificación de $ 20,000, que finalmente eleva el pago por un exploit funcional a $ 91,337.
Finalmente si estás interesado en poder conocer más al respecto sobre la nota, puedes consultar los detalles en la publicación original en el siguiente enlace.