Zerodium временно утроил выплату до 300 тысяч долларов за эксплойты WordPress

Zerodium , один из самых известных брокеров уязвимостей безопасности, объявил, что он утроит выплаты за эксплойты удаленного выполнения кода в установках WordPress по умолчанию. Выплаты обычно составляют 100 тыс. Долларов, но были временно увеличены до 300 тыс. Долларов.

Компания фокусируется на приобретении оригинальных и ранее незарегистрированных исследований нулевого дня. Он платит исследователям за уязвимости с высокой степенью риска и полнофункциональные эксплойты, а наибольшее вознаграждение в размере 2,5 миллиона долларов получают за эксплойты Android с полной цепочкой, нулевым щелчком и постоянством. Этот ценник был увеличен с 200 тысяч долларов в сентябре 2019 года, что говорит о том, что уязвимости для Android стало труднее найти или что спрос на них значительно вырос.

Торговые посредники Exploit работают в своего рода серой зоне исследования безопасности. В качестве стандартной практики исследователям безопасности рекомендуется сообщать об уязвимостях первоначальному разработчику программного обеспечения, а не посреднику, который может передать его стороне, которая может не использовать эту информацию во благо. Привлекательность этих компаний заключается в том, что они платят больше, чем большинство организаций, отсюда слоган: « Мы платим БОЛЬШИЕ вознаграждения, а не вознаграждения за ошибки».

WordPress имеет учетную запись в Hackerone, чтобы платить исследователям безопасности за уязвимости, но выплаты намного меньше по сравнению с тем, что платят брокеры эксплойтов. Это делает его трудным выбором для исследователей безопасности, которые зарабатывают этим на жизнь. Профессиональные охотники нулевого дня ищут максимальные выплаты за обнаруженные уязвимости, что иногда может занять месяцы или больше.

Zerodium не раскрывает, кто его клиенты и какова их цель для покупки уязвимостей. В лучшем случае государственная организация хочет защитить свои собственные системы. Даже в этом случае нельзя гарантировать, что они используют эксплойт этично или что они непреднамеренно не допустят утечки эксплойтов там, где они могут быть использованы злонамеренно другими.

Zerodium не уточнил, почему он увеличил выплаты за эксплойты WordPress до 300 тысяч долларов. WPScan предполагает, что у компании может внезапно возникнуть больший спрос на эксплойты WordPress RCE, в сочетании с тем, что WordPress становится более безопасным:

Это может указывать на то, что WordPress становится более безопасным и что становится все труднее находить критические проблемы безопасности, которые нужны покупателям. С другой стороны, мы также должны предположить, что эти типы эксплойтов уже существуют и уже активно продаются на Zerodium и других подобных платформах.

Мы также можем сделать вывод, что если правительство собирается заплатить более 300 000 долларов за эксплойт WordPress RCE, то они намереваются его использовать. Мировые правительства могут даже обменивать эксплойты, чтобы продавец, в данном случае Zerodium, получил лучшую цену.

WPScan также подчеркнул, что с учетом того, что WordPress так широко представлен в сети, эксплойт против ядра с такими характеристиками «будет разрушительным для сети в целом, если попадет в чужие руки».

«Повышение цен Zerodium может указывать на то, что становится все труднее находить эти критические проблемы в WordPress Core», – сказал основатель и генеральный директор WPScan Райан Дьюхерст. «По крайней мере, это должно быть хорошей новостью для WordPress и Интернета в целом».