漏洞懸賞公司Zerodium表示,他們正在征集零日漏洞,,針對(duì)市場(chǎng)上三家流行的虛擬專用網(wǎng)(VPN)服務(wù)提供商,。
VPN服務(wù)通過(guò)提供商的服務(wù)器運(yùn)行連接,,允許用戶隱藏其IP地址訪問(wèn)互聯(lián)網(wǎng)上的資源,,
這種路徑使第三方更難跟蹤用戶的在線活動(dòng),,保護(hù)了互聯(lián)網(wǎng)上的隱私。
針對(duì)Windows的VPN客戶端
Zerodium目前關(guān)注的是影響Windows客戶端NordVPN,、ExpressVPN和SurfShark VPN服務(wù)的漏洞,。它們共同服務(wù)著數(shù)百萬(wàn)用戶,據(jù)報(bào)道,,前兩家公司聲稱全球至少有1700萬(wàn)用戶,。
根據(jù)這三家公司網(wǎng)站上的數(shù)據(jù),它們管理著分布在數(shù)十個(gè)國(guó)家的1.1萬(wàn)多臺(tái)服務(wù)器,。
Zerodium今天發(fā)布的公告呼吁找出可能泄露用戶信息,、IP地址和可用于實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行的漏洞。Zerodium不想要的是本地權(quán)限升級(jí)漏洞,。
BleepingComputer聯(lián)系了這三家VPN服務(wù)提供商,,希望就Zerodium的聲明發(fā)表評(píng)論,但在發(fā)布時(shí)沒(méi)有收到回復(fù),。
Zerodium的客戶群體由政府機(jī)構(gòu)組成,,主要來(lái)自歐洲和北美,,這些機(jī)構(gòu)需要先進(jìn)的零日漏洞和網(wǎng)絡(luò)安全能力。
Zerodium聲明背后的原因尚不清楚,,但其中一個(gè)動(dòng)機(jī)可能是,,政府客戶需要一種方法來(lái)識(shí)別隱藏在VPN服務(wù)背后的網(wǎng)絡(luò)犯罪活動(dòng)。
NordVPN和Surfshark過(guò)去曾被攻擊者使用,。
去年,,美國(guó)聯(lián)邦調(diào)查局(FBI)警告說(shuō),伊朗黑客利用NordVPN服務(wù)進(jìn)行虛假的驕傲男孩(ProudBoy)行動(dòng),。
最近的一個(gè)例子是美國(guó)國(guó)家安全局(NSA)今年警告說(shuō),,俄羅斯黑客通過(guò)TOR和VPN服務(wù)(其中包括Surfshark和NordVPN)對(duì)Kubernetes服務(wù)器發(fā)起了暴力破解攻擊。
Zerodium公司表示,,其業(yè)務(wù)遵循道德規(guī)范,,根據(jù)嚴(yán)格的標(biāo)準(zhǔn)和審查程序選擇客戶;而且只有一小部分政府客戶能夠獲得已有的零日研究,。
今年早些時(shí)候,,Zerodium宣布暫時(shí)增加對(duì)Chrome漏洞的懸賞。Zerodium提供了100萬(wàn)美元,,用在可將RCE與SBX鏈接起來(lái)的漏洞,。
在Chrome有關(guān)的漏洞中,RCE和SBX的獎(jiǎng)金分別增加到40萬(wàn)美元,。在撰寫本文時(shí),,這些懸賞仍在進(jìn)行中。
Zerodium為移動(dòng)端和電腦端的任何操作系統(tǒng)都提供付費(fèi)服務(wù),。最主要適用于Windows,、macOS、LinuxBSD,、iOS和Android,。