Sommario
Google ha integrato kCTF nel suo Programma di Ricompense per la Vulnerabilità (VRP) nel 2020 per supportare i ricercatori nella valutazione della sicurezza di Google Kubernetes Engine (GKE) e del kernel Linux sottostante. Da allora, l’azienda ha investito pesantemente in questo settore, estendendo l’ambito e la ricompensa massima del VRP nel 2021 e di nuovo nel 2022.
Lezioni apprese e statistiche
Dal suo inizio, il programma ha premiato i ricercatori con un totale di 1,8 milioni di dollari. Nell’ultimo anno, il 60% delle sottomissioni ha sfruttato il componente io_uring del kernel Linux, per il quale Google ha pagato circa 1 milione di dollari. Inoltre, le vulnerabilità di io_uring sono state utilizzate in tutte le sottomissioni che hanno eluso le mitigazioni di Google.
Limitazione di io_uring
Per proteggere i suoi utenti, Google ha deciso di limitare l’uso di io_uring nei suoi prodotti. È stato disabilitato su ChromeOS e sui server di produzione di Google, mentre su Android è inaccessibile alle app grazie al filtro seccomp-bpf. Inoltre, Google sta esaminando la possibilità di disabilitare io_uring per impostazione predefinita su GKE AutoPilot.
Trasparenza e introduzione di kernelCTF
Google ha reso pubblici i dettagli delle vulnerabilità e ha riassunto diverse tecniche di sfruttamento. In futuro, chiederà ai ricercatori di rendere open-source le loro sottomissioni, compreso il codice utilizzato. Inoltre, per allineare meglio gli incentivi con le sue aree di interesse, Google sta spostando il suo focus dal GKE e kCTF al kernel stabile più recente e alle sue mitigazioni, introducendo “kernelCTF” con la sua struttura di ricompensa e processo di sottomissione.