Google の KVM のゼロデイ脆弱性報奨プログラム kvmCTF が開始:その報酬額は MAX で $250,000

Google now pays $250,000 for KVM zero-day vulnerabilities

2024/07/01 BleepingComputer — Google が立ち上げたのは、KVM (Kernel-based Virtual Machine) ハイパーバイザーのセキュリティ向上のための、新たな脆弱性報奨プログラム (VRP:vulnerability reward program) としての kvmCTF である。この kvmCTF は、2023年10月に発表されたものであり、完全な VM エスケープ・エクスプロイトに対して、$ 250,000 の報奨金が支払われるという。KVM (Kernel-based Virtual Machine) は、17年以上にわたって開発されているオープンソースのハイパーバイザーである。そして、いまでは、コンシューマーや企業における重要なコンポーネントとなり、Android や Google のクラウド・プラットフォームの基盤としても活用されている。


KVM のコントリビューターである Google は、脆弱性の特定と修正を支援する共同プラットフォームとして kvmCTF を開発し、重要なセキュリティ・レイヤーとして強化していくという。

Linux カーネルのセキュリティ脆弱性を対象とする、Google の脆弱性報奨プログラムである kernelCTF と同様に、kvmCTF は KVM ハイパーバイザーのバグに焦点を当てるものとなる。

このプログラムの目的は、ゲストからホストへの攻撃の阻止にあり、QEMU や ホストから KVM を攻撃する脆弱性は除外される。

このプログラムに登録したセキュリティ研究者たちには、管理されたラボ環境が提供され、エクスプロイトが成功すればフラグを得られるという。

ただし、kvmCTF はゼロデイ脆弱性に焦点を当てるものである。したがって、他の脆弱性報奨プログラムとは異なり、既知の脆弱性をターゲットにするエクスプロイトには報奨が支払われない。

kvmCTF の報酬は以下の通りである:

  • Full VM escape: $250,000
  • Arbitrary memory write: $100,000
  • Arbitrary memory read: $50,000
  • Relative memory write: $50,000
  • Denial of service: $20,000
  • Relative memory read: $10,000

kvmCTF のインフラは、Google の Bare Metal Solution (BMS) 環境でホストされており、高度なセキュリティ基準をコミットしている、このプログラムが状況が垣間見える。

Google のソフトウェア開発者である Marios Pomonis は、「参加者は、ゲスト VM にアクセスする時間帯を予約し、ゲストからホストへの攻撃を試すことができる。このテスト攻撃の目的は、ホスト・カーネルの KVM サブシステムにおける、ゼロデイ脆弱性を悪用することにある。攻撃に成功した参加者は、脆弱性を悪用したことを証明するフラグを得る。その攻撃の重大性に応じて、予め定められた報酬ランクに基づいた報酬額が決定される。全ての報告は、ケースバイケースで徹底的に評価される」と説明している

アップストリームにおいてパッチがリリースされた後に、発見されたゼロデイ脆弱性の詳細を Google が受け取り、その情報はオープンソース・コミュニティに共有されるとのことだ。

kvmCTF に参加するためには、まず kvmCTF ルールを確認する必要がある。このルールには、タイム・スロットの予約/ゲスト VM への接続/フラグの取得/各種の KASAN 違反の報酬層へのマッピングに関する情報と、脆弱性の報告に関する詳細な手順が含まれている。

Google の、KVM に対する姿勢が垣間見えてきますね。2024/06/19 の「Fortinet/VMware の脆弱性を悪用:中国由来の UNC3886 が実現している永続性とは?」では、「その戦術には、ゲスト仮想マシン (VM) 上で用いられる、Reptile や Medusa などの一般に入手可能な rootkit も含まれており、後者については、SEAELF と名付けられたインストーラ・コンポーネントも使用されている」と解説されていました。また、KVM について Wikipedia で調べてみたら、「KVM は、BSD/Solaris/Windows/Haiku/ReactOS/Plan 9/AROS/macOS/Linux などの、ゲスト・オペレーティング・システムのための、ハードウェア支援仮想化をサポートしている。さらに、Android 2.2/GNU/Hurd/Debian K16/Minix 3.1.2a/Solaris 10 U3/Darwin 8.0.1 などでは、特定の制限付きで動作する」と記されていました。