Anuncio de los ganadores del Premio VRP de GCP 2020


2020 resultó ser un año asombroso para el Programa de recompensas por vulnerabilidades de Google. Recibimos muchos informes de vulnerabilidad de alta calidad de nuestros talentosos y prolíficos investigadores de vulnerabilidades.

Informes de vulnerabilidad recibidos año tras año

Esta tendencia se reflejó en las presentaciones que recibimos para el premio GCP VRP. Después de una cuidadosa evaluación de las numerosas reseñas de vulnerabilidades innovadoras y de alto impacto que recibimos este año, nos complace anunciar a los ganadores del premio 2020 GCP VRP:

  • Primer premio, $ 133,337: Ezequiel Pereira por el informe y redacción RCE en Google Cloud Deployment Supervisor. El mistake descubierto por Ezequiel le permitió realizar solicitudes a los servicios internos de Google, autenticados como una cuenta de servicio privilegiada. Aquí hay un online video que brinda más detalles sobre el error y el proceso de descubrimiento.

(incrustar) https://www.youtube.com/check out?v=g-JgA1hvJzA (/ incrustar)

  • Segundo premio, $ 73,331: David Nechuta por el informe y redacción 31k $ SSRF en Google Cloud Monitoring llevaron a la exposición de metadatos. David encontró un error de falsificación de solicitudes del lado del servidor (SSRF) en la función de verificación del tiempo de actividad de Google Cloud Monitoring. El mistake podría haberse utilizado para filtrar el token de autenticación de la cuenta de servicio utilizada para estas comprobaciones.
  • Tercer premio, $ 73,331: Dylan Ayrey y Allison Donovan por el informe y redacción Solucionar una vulnerabilidad de Google. Señalaron problemas en los permisos predeterminados asociados con algunas de las cuentas de servicio utilizadas por los servicios de GCP.
  • Cuarto premio, $ 31,337: Bastien Chatelard por el informe y redacción Cómo escapar de la zona de pruebas de GKE gVisor mediante metadatos. Bastien descubrió un mistake en la implementación de la política de purple de la zona de pruebas de GKE gVisor debido a que se podía acceder a la API de metadatos de Google Compute Engine.
  • Quinto premio, $ 1,001: Brad Geesaman por el informe y redacción CVE-2020-15157 Redacción «ContainerDrip». El error podría permitir a un atacante engañar a los contenedores para que filtren metadatos de instancias al proporcionar un manifiesto de imagen de contenedor malicioso.
  • Sexto premio, $ 1,000: Chris Moberly por el informe y redacción Escalada de privilegios en el inicio de sesión del sistema operativo de Google Cloud System. El informe demuestra cómo un atacante puede usar el envenenamiento de DHCP para escalar sus privilegios en una VM de Google Compute Engine.

Felicitaciones a todos los ganadores! Si hemos alcanzado su punto máximo de interés y desea participar en el concurso para un premio GCP VRP en 2021, aquí hay un recordatorio sobre los requisitos.

  • Encuentre una vulnerabilidad en un producto de GCP (consulte Programa gratuito de Google Cloud Para empezar)
  • Informe al VRP (¡puede ser recompensado por ello además del Premio VRP de GCP!)
  • Crea una reseña pública
  • Envialo aquí

Asegúrese de enviar sus informes y reseñas de VRP antes del 31 de diciembre de 2021 a las 11:59 GMT. ¡Buena suerte! Puedes conocer más sobre el premio de este año aquí. ¡No podemos esperar a ver qué se les ocurre a nuestros talentosos investigadores de vulnerabilidades este año!




Enlace a la noticia primary