Google, Linux çekirdeği, Kubernetes kapsayıcı yönetim sistemi ve Google Cloud’un Kubernetes motorundaki (Kubernetes Engine) güvenlik açıkları için açıklardan yararlanan araştırmacılara 20.000 ila 91.337 ABD Doları arasında bir ödeme yapacak.
Bu girişim, Google tarafından Kasım ayında başlatılan üç aylık ödül programının bir uzantısıdır. yeni ve bilinmeyen Linux çekirdek hatalarının istismarları için ödüllerin üçe katlandığı yer. Fikir, özellikle üzerinde çalışan hizmetler için yeni çekirdek sömürü tekniklerini güncellemekti. Kubernet’ler bulutta.
Araştırmacılar, bir yarışmanın parçası olarak Google’ın kCTF (Kubernetes Capture The Flag) kümesini tehlikeye atmak ve bir “bayrak” (bir programda gizli bir sır) elde etmek için belirli bir hatanın istismarını kullanabileceklerini göstermek zorundaydılar. Google kümesinde yer alıyor.
Sıfır günlerle dolu
Google programı bir başarı olarak değerlendirdi, bu yüzden en azından 2022’nin sonuna kadar uzatacak. Ancak aynı zamanda kurallar, şartlar ve ödülleri kapsayan bir dizi değişiklik yaptı.
İlk olarak, tek bir başarı için maksimum ödül 50.337$’dan 91.377$’a yükseltildi.
Programın bugüne kadarki başarısıyla ilgili olarak Google, son üç ayda dokuz başvuru aldığını ve 175.000 doların üzerinde ödül ödediğini söyledi. Gönderimler, beş sıfır gün veya daha önce bilinmeyen güvenlik açığı ve 1 günlük veya yakın zamanda keşfedilen güvenlik açıkları için iki istismar içeriyordu. Üç tanesi düzeltildi ve kamuoyuna açıklandı. CVE-2021-4154, CVE-2021-22600 (yama) ve CVE-2022-0185 (yazma), Google’a göre.
Google, ödül yapısını “biraz” değiştiriyor
Google, ödül yapısını “biraz” değiştiriyor. Artık “belirli bir güvenlik açığı için ilk geçerli istismar sunumunda” 31,337 dolar ödeyecek ve yinelenen istismarlar için hiçbir şey ödemeyecek.
Ancak, yinelenen başarılar için belirli ödüllerin geçerli olabileceğini açıklığa kavuşturuyor. Bunlara şunlar dahildir: Sıfırıncı gün güvenlik açıklarını içeren açıklardan yararlanmalar için 20.000 ABD doları; Ayrıcalıksız kullanıcı ad alanları gerektirmeyen güvenlik açıkları için 20.000 ABD doları (CLONE_NEWUSER); ve yeni istismar teknikleri kullanan istismarlar için 20.000 ABD doları (Google daha önce bunlar için hiçbir şey ödemedi).
Google, “Bu değişiklikler, bazı 1 günlük açıkları 71.337 $’a (31.337 $’dan) çıkarıyor ve tek bir istismar için maksimum ödülü 91,337 $’a (50.337 $’dan) sağlıyor” diyor.
Yeni hack teknikleri arayışında
Google, yeni teknikler olarak gördüğü şeylerle ilgili olarak şunları belirtir:
“Yeni bir teknik, keyfi/sınır dışı okuma/yazma veya keyfi serbest gibi sınırlı bir ilkel öğeyi daha güçlü birine dönüştürmek için önceden bilinmeyen nesnelerin sömürülmesi olabilir. Örneğin, tüm gönderimlerimizde, araştırmacılar çekirdek sızıntıları elde etmek için mesaj kuyruklarından yararlandılar.
Çekirdeğe anında erişime izin veren eşit derecede güçlü teknikler arıyoruz. Bir örnek, ortak bir güvenlik azaltma veya bir güvenlik açığı sınıfından daha güvenilir bir şekilde yararlanma tekniğini atlıyor.”
Bu Linux çekirdeği istismar hatası ödülü, Google’ın Android, Chrome ve diğer açık kaynaklı projeleri kapsayan hata ödül programlarının küçük bir parçasıdır. 2021’de Google’ın 8,7 milyon dolar ödül ödediAndroid hataları için 2,9 milyon ve Chrome hataları için 3,3 milyon dahil. Geçen yılın toplam ödülleri 2020’de 6,7 milyon dolardan arttı.
Kaynak: “ZDNet.com”