使用技巧

Zerodium暂时将WordPress漏洞的支出增加三倍,达到$ 300K

零钠,最著名的安全漏洞代理之一,宣布将对默认WordPress安装上的远程代码执行漏洞进行三倍的回报。 付款通常为$ 100K,但暂时增加为$ 300K。

该公司专注于获取原始的和以前未报告的零时差研究。 它向研究人员支付高风险漏洞和功能齐全的漏洞,并以“全链,零点击,持久”的Android漏洞获得最高250万美元的奖励。 这个价格标签从2019年9月的20万美元增加了,表明Android漏洞利用变得越来越难找到,或者对它们的需求已大大增加。

漏洞利用经销商在安全研究的灰色领域内运作。 作为一种标准做法,鼓励安全研究人员向软件的原始开发者报告漏洞,而不是将其传递给可能不会永久使用该信息的一方的中间人。 这些公司的吸引力在于,他们支付的费用比大多数组织都要多,因此标语是:“我们支付的是大笔赏金,而不是错误赏金。”

WordPress有一个帐户 哈克龙 支付安全研究人员的漏洞,但 支出 与漏洞利用经纪人所支付的费用相比要小得多。 对于以这样做为生的安全研究人员来说,这是一个艰难的选择。 专业的零日猎手正在为他们发现的漏洞寻求最高的回报,有时可能要花费数月甚至更长的时间。

zerodium暂时将三倍的支出分配给300k的wordpress漏洞利用Zerodium暂时使WordPress漏洞的支出增加了三倍,达到了$ 300K

Zerodium并未透露其客户是谁或购买这些漏洞的目的是什么。 最好的情况是希望保护自己的系统的政府实体。 即使这样,也不能保证他们以道德的方式使用该漏洞利用程序,或者他们不会无意中泄露了可能被他人恶意使用的漏洞利用程序。

Zerodium并未详细说明为何将WordPress漏洞的支出增加到30万美元。 WPScan 推测该公司可能突然对WordPress RCE漏洞有更大的需求,再加上WordPress变得更加安全:

这可能表明WordPress变得越来越安全,并且越来越难以找到买家想要的关键安全问题。 另一方面,我们还必须假设这些类型的漏洞利用已经存在,并且已经在Zerodium和其他类似平台上被积极出售。

我们还可以得出这样的结论:如果政府要为WordPress RCE漏洞支付超过300,000美元,那么他们打算使用它。 世界各国政府甚至可能对这些漏洞进行交换,以使卖方(在这种情况下为Zerodium)获得最高的价格。

WPScan还强调指出,由于WordPress在网络上占有如此庞大的地位,针对具有这些特定特征的核心的攻击“如果落入错误的手中,将会对整个网络造成毁灭性的打击。”

WPScan创始人兼首席执行官Ryan Dewhurst说:“锆的价格上涨可能表明,在WordPress Core中发现这些关键问题变得越来越困难。” “至少对于WordPress和整个网络来说,这至少应该是个好消息。”

像这样:

像载入中…

来源