天创培训:您身边的信息安全培训专家!
行业动态
Zerodium公司悬赏50万美元征集Linux零日漏洞

零日漏洞

收购和出售零日漏洞可以说一个高产的业务,但往往被很多人所忽视。为了更好地了解它的演变,让我们一起来分析一下国外热门的漏洞交易平台Zerodium的最新报价。当然,想要具体了解该公司的运营模式和经营理念,我们可以直接访问他们的网站。

“ ZERODIUM 向安全研究人员支付了丰厚的奖金和酬劳,以获取他们原有的和以前未报告的影响主要操作系统、软件和设备的零日漏洞研究。” 该公司的网站上写道,“虽然大多数现有的漏洞赏金计划接受几乎任何类型的漏洞和PoC,但报酬通常非常低,但在ZERODIUM,我们专注于具有全面功能的高风险漏洞,我们支付了最高的市场报酬。”

与其他漏洞交易平台一样,Zerodium 收购零日漏洞并将其出售给政府机构和执法部门,但许多隐私倡导者担心,一些监视公司可能会利用这些漏洞,将自己的产品出售给威权主义政府。

Zerodium公司在基于UNIX的操作系统上为零日漏洞提供了高达50美元的收购价格,包括OpenBSD、FreeBSD和NetBSD。同样额度的价格提供给了针对Ubuntu、CentOS、Debian和Tails等主流Linux发行版的零日漏洞利用。

零日漏洞的价格因多种因素而不同,包括受影响的平台/系统的市场份额(Windows零日漏洞通常比Linux零日漏洞的价格更高)以及为利用漏洞而需要的用户交互级别(比如,需要用户点击的次数)。

其他因素包括零日攻击的可靠性、为利用某个漏洞所需要配合使用的其他漏洞的数量、成功率以及利用漏洞所需的操作系统配置。

自今年2月份以来,Linux零日漏洞的价格增长趋势一直在保持,当时的收购价格已经高达4.5万美元。该公司目前已经分享了其最新的收购计划,虽然主要目标仍然是针对Linux和BSD系统的远程代码执行或本地权限提升漏洞,但价格区间及最高收购价格已经做出了调整。

Zerodium公司目前对Linux权限提升零日漏洞的收购价格从1万美元到3万不等,而对于Linux中的本地权限提升(LPE)漏洞的最高收购价格更是高达10万美元。对于Linux远程代码执行漏洞的收购价格可从5万美元到50万美元不等,其中CentOS和Ubuntu的零日漏洞是他们最想要的。

在过去的几个月里,Zerodium已经发布了一些针对iOS、Adobe Flash Player、Tor浏览器、移动IM应用程序和Android的零日漏洞征集计划。其中,针对iOS的零日漏洞利用以高达150万美元的价格位居榜首。

查看Zerodium提供的零日漏洞价格表,我们可以注意到对于服务器环境来说,寻找Linux零日漏洞可以说是最有利可图的,但移动操作系统仍是零日漏洞市场中最高产的一个领域。

此外,我们还注意到有另一位新玩家最近出现在了零日漏洞市场中,一个名为“Crowdfense ”的公司在最近推出了一项总金额高达1000 万美元的收购计划。