漏洞懸賞公司Zerodium表示,他們正在征集零日漏洞,針對市場上三家流行的虛擬專用網(VPN)服務提供商。
VPN服務通過提供商的服務器運行連接,允許用戶隱藏其IP地址訪問互聯網上的資源,
這種路徑使第三方更難跟蹤用戶的在線活動,保護了互聯網上的隱私。
針對Windows的VPN客戶端
Zerodium目前關注的是影響Windows客戶端NordVPN、ExpressVPN和SurfShark VPN服務的漏洞。它們共同服務著數百萬用戶,據報道,前兩家公司聲稱全球至少有1700萬用戶。
根據這三家公司網站上的數據,它們管理著分布在數十個國家的1.1萬多臺服務器。
Zerodium今天發布的公告呼吁找出可能泄露用戶信息、IP地址和可用于實現遠程代碼執行的漏洞。Zerodium不想要的是本地權限升級漏洞。
BleepingComputer聯系了這三家VPN服務提供商,希望就Zerodium的聲明發表評論,但在發布時沒有收到回復。
Zerodium的客戶群體由政府機構組成,主要來自歐洲和北美,這些機構需要先進的零日漏洞和網絡安全能力。
Zerodium聲明背后的原因尚不清楚,但其中一個動機可能是,政府客戶需要一種方法來識別隱藏在VPN服務背后的網絡犯罪活動。
NordVPN和Surfshark過去曾被攻擊者使用。
去年,美國聯邦調查局(FBI)警告說,伊朗黑客利用NordVPN服務進行虛假的驕傲男孩(ProudBoy)行動。
最近的一個例子是美國國家安全局(NSA)今年警告說,俄羅斯黑客通過TOR和VPN服務(其中包括Surfshark和NordVPN)對Kubernetes服務器發起了暴力破解攻擊。
Zerodium公司表示,其業務遵循道德規范,根據嚴格的標準和審查程序選擇客戶;而且只有一小部分政府客戶能夠獲得已有的零日研究。
今年早些時候,Zerodium宣布暫時增加對Chrome漏洞的懸賞。Zerodium提供了100萬美元,用在可將RCE與SBX鏈接起來的漏洞。
在Chrome有關的漏洞中,RCE和SBX的獎金分別增加到40萬美元。在撰寫本文時,這些懸賞仍在進行中。
Zerodium為移動端和電腦端的任何操作系統都提供付費服務。最主要適用于Windows、macOS、LinuxBSD、iOS和Android。