Google heeft een speciale bugbounty van drie maanden gelanceerd die zich richt op fouten in de Linux-kernel met driedubbele beloningen voor beveiliging onderzoekers.
De nieuwe premie, die deze week is aangekondigd, lijkt de Linux-kernel in specifieke edge-gevallen te verharden. Het biedt tot $ 31.337 (Leet) aan beveiligingsonderzoekers die misbruik kunnen maken van privilege-escalatie in de laboratoriumomgeving van Google met een gepatchte kwetsbaarheid; en $ 50.337 voor iedereen die een voorheen niet bekendgemaakte of zero-day fout kan vinden, of voor het ontdekken van een nieuwe exploittechniek.
“We investeren voortdurend in de beveiliging van de Linux-kernel omdat een groot deel van internet en Google – van de apparaten in onze portemonnee tot de services die op Kubernetes in de cloud draaien – afhankelijk zijn van de beveiliging ervan”, zegt Eduardo Vela van het Google Bug Hunters-team.
ZIE: Ransomware: het is een 'gouden tijdperk' voor cybercriminelen – en het kan erger worden voordat het beter wordt
De Linux-kernel — 30 jaar geleden als hobby ontwikkeld door Linus Torvalds in Helsinki — is nu de drijvende kracht achter de meeste van de beste websites en internetinfrastructuur, van AWS tot Microsoft Azure, Google, Facebook en Wikipedia.
De basisbeloningen van Google voor elke openbaar gepatchte kwetsbaarheid is $ 31.337, gemaximeerd op één exploit per kwetsbaarheid. De beloning kan echter oplopen tot $ 50.337 als de bug verder niet is gepatcht in de Linux-kernel (een zero-day); of als de exploit volgens Google een nieuwe aanval of techniek gebruikt.
“We hopen dat de nieuwe beloningen de beveiligingsgemeenschap zullen aanmoedigen om nieuwe kernel-exploitatietechnieken te verkennen om privilege-escalatie te bereiken en snellere oplossingen voor deze kwetsbaarheden aan te drijven, ” zei Vela.
Hij voegt eraan toe dat “de eenvoudigste primitieven voor exploitatie niet beschikbaar zijn in onze laboratoriumomgeving vanwege de verharding die is uitgevoerd op Container-Optimized OS.” Dit is een op Chromium gebaseerd besturingssysteem voor virtuele machines van Google Compute Engine dat is gebouwd om op Docker-containers te draaien.
Aangezien deze premie van drie maanden echter een aanvulling vormt op de VRP-beloningen van Android, kunnen exploits die op Android werken ook in aanmerking komen voor maximaal $ 250.000 (dat is een aanvulling op dit programma).
De Google-omgeving heeft een aantal specifieke vereisten die zijn gedemonstreerd door Google-beveiligingsingenieur Andy Nguyen, die de 15-jarige BleedingTooth-bug (CVE-2021-2555) in de Bluetooth-stack van Linux vond.
ZIE: Cloud-beveiliging in 2021: een zakelijke gids voor essentiële tools en best practices
Die bug was een hoop -of-bounds-schrijfkwetsbaarheid in Linux Netfilter die alle moderne beveiligingsbeperkingen zou kunnen omzeilen, uitvoering van kernelcode zou kunnen bereiken en de Kubernetes-pod-isolatie van het kCTF-cluster (capture the flag) dat voor beveiligingscompetities wordt gebruikt, zou kunnen doorbreken. Nguyen beschrijft zijn werk in een artikel op GitHub.
Vela raadt deelnemers aan om ook een patch toe te voegen als ze extra geld willen via het Patch Reward Program.
Gezien de aard van open-source softwareontwikkeling, merkt Google op dat het geen details wil ontvangen over niet-gepatchte kwetsbaarheden voordat ze openbaar zijn gemaakt en gepatcht. Onderzoekers moeten exploitcode en het algoritme dat wordt gebruikt om de identifier te berekenen, verstrekken. Het zou echter graag een ruwe beschrijving van de exploitstrategie ontvangen.
Beveiliging
Signaal onthult hoe ver Amerikaanse wetshandhavers gaan om informatie van mensen te krijgen Microsoft: MacOS-fout had aanvallers ondetecteerbare malware kunnen laten installeren Google repareert twee zeer ernstige zero-day fouten in Chrome Politie steekt verdachten achter 1800 aanvallen aan die 'over de hele wereld verwoestten' Dit monster van een phishing-campagne zit achter je wachtwoorden aan Cybersecurity 101: bescherm je privacy tegen hackers, spionnen, de overheid Security TV | Gegevensbeheer | CXO | Datacenters