Google、「KVM」の脆弱性発見に最大25万ドルの報奨金を提供する「kvmCTF」を開始：Google Bare Metal SolutionのゲストVMからホストへの攻撃を試せる

Googleは、「KVM」のゼロデイ脆弱（ぜいじゃく）性を発見、報告した人に報奨金を提供するプログラム「kvmCTF」を開始した。

[＠IT]

　Googleは2024年6月27日（米国時間）、「KVM（Kernel-based Virtual Machine：カーネルベースの仮想マシン）」のゼロデイ脆弱（ぜいじゃく）性を発見、報告した人に報奨金を提供するプログラム「kvmCTF」を開始した。

　KVMは、15年以上にわたってオープンソースで開発されてきた仮想化技術であり、AndroidやGoogle Cloudといったプラットフォームなどに採用され、消費者や企業に広く利用されている。

　kvmCTFは、KVMにおける脆弱性の特定と対処を支援するように設計されており、ラボ環境を提供する。プログラム参加者はこれにログインし、自らが発見した脆弱性を突く攻撃を行い、成功すると、それを証明するフラグを取得する。

　kvmCTFはゼロデイ脆弱性を対象としており、nデイ脆弱性を突く攻撃は、報奨金の対象外だという。kvmCTFで報告されたゼロデイ脆弱性に関する詳細は、アップストリームパッチの公開後にGoogleに共有される。Googleは、オープンソースコミュニティーと同時に詳細を入手することになる。

kvmCTFの仕組み

　kvmCTFで提供されるラボ環境のインフラは、Google Bare Metal Solution（BMS）環境を使用してホストされている。kvmCTFが提供する報奨金の金額は、システム全体のセキュリティに対するハイパーバイザーの重要性を考慮し、脆弱性のさまざまなレベルを反映した攻撃の深刻度分類ごとに設定されている。

　kvmCTFのラボ環境は、単一のゲストVM（仮想マシン）を実行するベアメタルホストで構成される。参加者は、時間枠を予約してゲストVMにアクセスし、ゲストVMからホストへの攻撃を試みることができる。これは、ホストカーネルのKVMサブシステムのゼロデイ脆弱性を突いて行われる。

報奨金の区分（攻撃の深刻度分類による）

　攻撃が成功すると、参加者は成功を証明するフラグを取得する。以下のように、攻撃の深刻度分類により報奨額が決定される。全ての報告はケースバイケースで評価される。

• 完全なVMエスケープ：25万ドル
• 任意のメモリ書き込み：10万ドル
• 任意のメモリ読み取り：5万ドル
• 相対的なメモリ書き込み：5万ドル
• サービス拒否（DoS）：2万ドル
• 相対的なメモリ読み取り：1万ドル

　相対的なメモリ書き込み／読み取りを容易にし、サービス拒否を部分的に容易にするため、kvmCTFでは、Linuxカーネルのメモリエラー検出ツール「KASAN（Kernel Address Sanitizer）」を有効にしたホストを使用することもできる。KASAN違反をトリガーすることで、参加者は脆弱性を発見、悪用した証明としてフラグを得ることができる。