六个获胜的文章范围从身份管理问题和特权升级到“全面吹RCE”不等
一名安全研究人员发现并利用了Google Cloud Deployment Manager中远程代码执行(RCE)漏洞的漏洞,已被冠以Google的GCP VRP 2020年全面获胜者。
使用Google Cloud平台(GCP)服务的内部版本,乌拉圭研究人员Ezequiel Pereira设法通过Google的全局软件负载平衡器向内部端点发出请求,如技术文章这获得了最高奖项。
这一发现赢得了虫子猎人leet- 奖励$ 133,337的奖金,以及根据Google的脆弱性奖励计划获得31,337美元的Bug Bounty奖项(VRP)。
这是针对首届Google Cloud Security竞争的100,000美元奖金的重大增长,该竞赛于2019年推出,以增强无数的安全GCP服务用于构建Google产品。
尽管2019年有一个胜利者,但Google还以滑动规模颁发了现金奖品,并在接下来的五个最引人注目的提交中获得了现金奖。
“ GCP虫子狩猎之王”
佩雷拉说,他对这一消息感到“惊讶”。
“我认为,每个获胜的文章都是Google Cloud Security Research的一个了不起的展示,其他研究人员后来[他们自己的研究]都可以依据,我希望看到更多令人惊叹的文章在2021年发布,”他说每日swbeplay2018官网ig。
“我还没有任何计划在2021年探索GCP或任何其他平台的计划,尽管我将专注于Facebook,因为我要在那里担任其Whitehat计划的安全分析师。”
佩雷拉(Pereira)一直是“ GCP Bug狩猎的真正之王,现在他被Google VRP团队加冕,”竞赛的Wouter Ter Maat2019年获胜者, 告诉每日swbeplay2018官网ig。“很棒,完全应得!”
流行的Infosec视频频道LiveOverFlow同时,已经发布了与获胜者的采访,以与公告相吻合:
让它下雨
第二名是David Nechuta,他以31,000美元的赏金获得了73,331美元服务器端请求伪造((SSRF)Google云监视中的错误。
在利用缺陷在服务的正常运行时间检查中,研究人员设法公开了包括公共SSH密钥和项目名称的“项目级”元数据,以及“实例级”元数据(如机器类型和CPU平台)。
第三名的研究二人组合Dylan Ayrey和Allison Donovan获得了相同的现金奖励,以查找与GCP服务中默认许可相关的特权升级路径,并写上去这 - 与他们以技术为中心的黑帽子说话在研究中 - 剖析了解决漏洞的“政治机制”和“权衡”。
在第四名中,巴斯蒂安·查特拉德(Bastien Chatelard)在利用Google Kubernetes Engine的基于Gvisor的基于Gvisor的SandBoxing功能的缺点后获得了31,337美元的奖金访问元数据API。
最终,布拉德·盖萨曼(Brad Geesaman)分别赢得了1,001美元和1,000美元的第五和第六名奖品。集装箱’CTR/Contarterd被欺骗到注册表证书中的研究,克里斯·莫伯利(Chris Moberly)实现了特权升级GCP的OS登录。
“各种各样的错误类”
“ 2020年是一个很棒的一年对于Google漏洞奖励计划,” Google在A中说博客文章昨天(3月17日)出版。“我们收到了来自才华横溢且多产的研究人员的许多高质量脆弱性报告。”
阅读了所有获胜的文章,Wouter Ter Maat指出,与2019年相比,标准和提交的数量有所增加,当时他声称由Google Cloud Shell Bugs的四重奏提供了唯一的奖项。
他说:“很高兴看到各种各样的错误课程。”“这些获胜的文章可以为未来的GCP研究人员提供一个自身研究的好地方。”
明年的GCP奖将再次看到法官选择在VRP下验证的GCP漏洞的六个最佳文章,奖金也保持不变。
截止日期提交是12月31日。