گوگل گفته سال 2022 ، سال موفقی برای برنامه پاداش آسیب پذیریش (VRP) بوده و بیش از 2900 گزارش آسیب پذیری دریافت و اصلاح کرده و در مجموع بیش از 12 میلیون دلار بانتی به محققین داده. بخشی از این گزارش ها منجر به بهبود امنیت Google Cloud شده.
گوگل برنامه Google Cloud VRP Prize رو از سال 2019 با هدف تشویق محققین برای کار روی Google Cloud و اشتراک دانش در زمینه آسیب پذیری های سرویس های ابری برگزار میکنه و اعلام کرده که امسال از افزایش مشارکت محققین و کشف آسیب پذیری های پیچیده ، شگفت زده شده.
در نهایت اسامی نفرات برتر Google Cloud VRP Prize 2022 رو معرفی کرده :
- جایزه اول : Yuval Avrahami برای گزارش و نوشتن رایت آپ برای یه آسیب پذیری افزایش امتیاز در GKE Autopilot ، که مبلغ 133,337 دلار جایزه دریافت کرده. گزارش ایشون چند مسیر حمله رو نشون میده که مهاجم میتونه با ایجاد pod در Autopilot cluster افزایش امتیاز کنه و VM های گره های زیرین رو به خطر بندازه. این تحقیق منجر به بهبود hardening در Autopilot شده و همچنین منجر به یه توصیه پیش فرض ایمن سازی در Kubernetes شده. متن کامل رایت آپ رو میتونید از اینجا بخونید.
- جایزه دوم : Sivanesh Ashok و Sreeram KL برای گزارش و نوشتن رایت آپ برای آسیب پذیری SSH Key Injection در GCE که مبلغ 73,331 دلار جایزه دریافت کردن. آسیب پذیری هم اینجوری بوده که با فریب کاربر برای کلیک روی یه پیوند مخرب ، میتونستن به GCE VM کاربر دسترسی پیدا کنن. متن کامل رایت آپ رو میتونید از اینجا بخونید.
- جایزه سوم: Sivanesh Ashok و Sreeram KL برای گزارش و نوشتن رایت آپ برای آسیب پذیری دور زدن احراز هویت در Cloud Workstations که مبلغ 31,337 دلار جایزه دریافت کردن. در این گزارش تونستن یه زنجیره کامل اکسپلویت برای سرقت توکن های دسترسی کاربر از طریق سوء استفاده از فرمت یه پارامتر وضعیت OAuth بدست بیارن. متن کامل رایت آپ رو میتونید از اینجا بخونید.
- جایزه چهارم : Sivanesh Ashok و Sreeram KL برای گزارش و نوشتن رایت آپ برای آسیب پذیری Client-Side SSRF در Google Cloud Project Takeover که مبلغ 31,311 دلار جایزه گرفتن. گزارششون هم شامل یه client-side SSRF و دور زدن CSRF و یه 3xx redirect با استفاده از غیرفعال کردن Feedburner proxy هستش. مهاجم میتونه با فریب کاربر برای کلیک روی یه لینک مخرب، توکن های دسترسی به Vertex AI رو بدست بیاره. متن کامل رایت آپ رو میتونید از اینجا بخونید.
- جایزه پنجم : Yuval Avrahami و Shaul Ben Hai برای گزارش و نوشتن رایت آپ برای افزایش آسیب پذیری در Kubernetes که مبلغ 17,311 دلار جایزه دریافت کردن. گزارششون هم بردارهای افزایش امتیاز در Kubernetes و آسیبپذیریهایی رو پوشش میده که در بسیاری از ارائهدهندگان میزبانی Kubernetes، از جمله Azure AKS, Amazon EKS و GKE وجود دارن. متن کامل رایت آپ رو میتونید از اینجا بخونید.
- جایزه ششم : Obmi برای گزارش و نوشتن رایت آپ یسری باگ در Google Cloud Shell که مبلغ 13,373 دلار جایزه گرفته. گزارش هم یسری آسیب پذیری در عملکرد آپلود فایل Cloud Shell رو شرح میده که مهاجم میتونه از طریق CSRF ، فایل دلخواه در Cloud Shell آپلود کنه. متن کامل رایت آپ رو میتونید از اینجا بخونید.
- جایزه هفتم : Bugra Eskici برای گزارش و نوشتن رایت آپ برای آسیب پذیری Command injection در Cloud Shell که مبلغ 13,337 دلار جایزه گرفته. آسیب پذیری هم اینجوریه که یه نقطه تزریق در یه اسکریپت Cloud Shell پیدا کرده که منجر به تزریق مستقیم یه پارامتر URL به اسکریپت پایتون میشه. مهاجم با فریب کاربر برای کلیک روی یه لینک ، میتونه کد کدلخواه در Cloud Shell اجرا کنه. متن کامل رایت آپ رو میتونید از اینجا بخونید.