구글은 Kernel-based Virtual Machine(KVM) 하이퍼바이저의 보안을 강화하기 위해 새로운 취약점 보상 프로그램(VRP)인 kvmCTF를 도입했다고 발표했다.
2023년 10월에 처음 발표된 이 프로그램은 KVM 내의 취약점을 식별하고 수정하는 것을 목표로 한다. KVM은 소비자 및 기업 환경에서 중요한 역할을 하며, 안드로이드와 구글 클라우드 플랫폼을 포함한 다양한 플랫폼에서 사용되고 있다.
KVM은 17년 이상의 개발 역사를 가진 오픈소스 하이퍼바이저로, 리눅스를 하이퍼바이저로 작동하게 한다. 구글은 KVM의 주요 기여자로서, 이 프로그램을 통해 KVM의 보안을 강화하고자 한다. kvmCTF는 구글의 kernelCTF 프로그램과 유사하게 KVM 하이퍼바이저 내의 제로데이 취약점을 식별하는 데 중점을 두고 있다. 이 프로그램은 KVM에서 VM에 접근 가능한 버그를 찾는 연구원들에게 보상을 제공하며, QEMU 또는 호스트에서 KVM으로의 취약점은 보상 대상에서 제외된다.
참가자들은 구글의 베어 메탈 솔루션(BMS) 환경에서 제공되는 제어된 실험실 환경에서 연구를 진행할 수 있다. 연구원들은 예약된 시간 동안 게스트 VM에 접근해 취약점을 공격하며, 성공 시 플래그를 획득할 수 있다. 이 플래그는 취약점 공격의 성공을 증명하며, 공격의 심각도에 따라 보상 금액이 결정된다.
kvmCTF의 보상 단계는 다음과 같다:
- 전체 VM 탈출: $250,000
- 임의 메모리 쓰기: $100,000
- 임의 메모리 읽기: $50,000
- 상대적 메모리 쓰기: $50,000
- 서비스 거부: $20,000
- 상대적 메모리 읽기: $10,000
참가를 희망하는 보안연구원들은 kvmCTF 규칙을 검토하여 시간 슬롯 예약, 게스트 VM 연결, 플래그 획득 및 취약점 보고에 대한 자세한 지침을 확인하고 참여가능하다.