Durante los últimos meses Google ha prestado especial atención en los problemas de seguridad encontrados en el Kernel de Linux y Kubernetes, ya que en noviembre del año pasado, Google aumentó el tamaño de los pagos, ya que la empresa triplicó las recompensas por exploits para errores previamente desconocidos en el kernel de Linux.
La idea era que las personas pudieran descubrir nuevas formas de explotar el kernel, en particular en relación con Kubernetes que se ejecuta en la nube. Google ahora informa que el programa de búsqueda de errores ha sido un éxito, recibió nueve informes en tres meses y desembolsó más de $ 175,000 a los investigadores.
Y es que mediante una publicación de blog Google nuevamente dio a conocer un anunció sobre la expansión de la iniciativa para pagar recompensas en efectivo por identificar problemas de seguridad en el kernel de Linux, la plataforma de orquestación de contenedores Kubernetes, el motor GKE (Google Kubernetes Engine) y el entorno de competencia de vulnerabilidades kCTF (Kubernetes Capture the Flag).
En la publicación se menciona que ahora el programa de recompensas incluye un bono adicional de $20,000 por vulnerabilidades del tipo zero-day por explotaciones que no requieren soporte para espacios de nombres de usuario y por demostrar nuevas técnicas de explotación.
El pago base por demostrar un exploit funcional en el kCTF es de $31 337 (el pago base se otorga al participante que primero demuestra un exploit funcional, pero los pagos de bonificación se pueden aplicar a exploits posteriores para la misma vulnerabilidad).
En la publicación podremos ver que en total, teniendo en cuenta las bonificaciones, la recompensa máxima por un exploit (problemas identificados con base en el análisis de correcciones de errores en el código base que no están explícitamente marcados como vulnerabilidades) puede alcanzar hasta $71 337 (anteriormente la mayor recompensa era $31 337), y por un problema del tipo zero-day (problemas para los que aún no hay solución) se pagan hasta $91,337 (anteriormente la mayor recompensa era $50,337). El programa de pago tendrá vigencia hasta el 31 de diciembre de 2022.
Se destaca que en los últimos tres meses, Google ha procesado 9 solicitudes con información sobre vulnerabilidades, por las cuales se pagaron 175 mil dólares.
Los investigadores participantes prepararon cinco exploits para vulnerabilidades zero-day y dos para vulnerabilidades 1day. Se han divulgado públicamente tres problemas ya corregidos en el kernel de Linux (CVE-2021-4154 en cgroup-v1, CVE-2021-22600 en af_packet y CVE-2022-0185 en VFS) (estos problemas ya se identificaron a través de Syzkaller y para se agregaron correcciones al kernel para dos problemas).
Como tal se menciona en el anuncio, que la suma de los pagos depende de varios factores: si el problema encontrado es una vulnerabilidad zero-day, si requiere espacios de nombres de usuario sin privilegios, si utiliza algunos métodos nuevos de explotación. Cada uno de estos puntos viene con una bonificación de $ 20,000, que finalmente eleva el pago por un exploit funcional a $ 91,337.
Finalmente si estás interesado en poder conocer más al respecto sobre la nota, puedes consultar los detalles en la publicación original en el siguiente enlace.
Continúar leyendo...