kaiyun官方注册
您所在的位置: 首页> 通信与网络> 业界动态> Zerodium 正在搜集 Windows VPN 客户端零日漏洞

Zerodium 正在搜集 Windows VPN 客户端零日漏洞

2021-10-26
来源:安全圈
关键词: Zerodium 零日漏洞

  漏洞悬赏公司Zerodium表示,他们正在征集零日漏洞,针对市场上三家流行的虚拟专用网(VPN)服务提供商。

  VPN服务通过提供商的服务器运行连接,允许用户隐藏其IP地址访问互联网上的资源,

  这种路径使第三方更难跟踪用户的在线活动,保护了互联网上的隐私。

  针对Windows的VPN客户端

  Zerodium目前关注的是影响Windows客户端NordVPN、ExpressVPN和SurfShark VPN服务的漏洞。它们共同服务着数百万用户,据报道,前两家公司声称全球至少有1700万用户。

  根据这三家公司网站上的数据,它们管理着分布在数十个国家的1.1万多台服务器。

  Zerodium今天发布的公告呼吁找出可能泄露用户信息、IP地址和可用于实现远程代码执行的漏洞。Zerodium不想要的是本地权限升级漏洞。

微信图片_20211026144029.jpg

  BleepingComputer联系了这三家VPN服务提供商,希望就Zerodium的声明发表评论,但在发布时没有收到回复。

  Zerodium的客户群体由政府机构组成,主要来自欧洲和北美,这些机构需要先进的零日漏洞和网络安全能力。

  Zerodium声明背后的原因尚不清楚,但其中一个动机可能是,政府客户需要一种方法来识别隐藏在VPN服务背后的网络犯罪活动。

  NordVPN和Surfshark过去曾被攻击者使用。

  去年,美国联邦调查局(FBI)警告说,伊朗黑客利用NordVPN服务进行虚假的骄傲男孩(ProudBoy)行动。

  最近的一个例子是美国国家安全局(NSA)今年警告说,俄罗斯黑客通过TOR和VPN服务(其中包括Surfshark和NordVPN)对Kubernetes服务器发起了暴力破解攻击。

  Zerodium公司表示,其业务遵循道德规范,根据严格的标准和审查程序选择客户;而且只有一小部分政府客户能够获得已有的零日研究。

  今年早些时候,Zerodium宣布暂时增加对Chrome漏洞的悬赏。Zerodium提供了100万美元,用在可将RCE与SBX链接起来的漏洞。

  在Chrome有关的漏洞中,RCE和SBX的奖金分别增加到40万美元。在撰写本文时,这些悬赏仍在进行中。

  Zerodium为移动端和电脑端的任何操作系统都提供付费服务。最主要适用于Windows、macOS、LinuxBSD、iOS和Android。




电子技术图片.png

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306116;邮箱:aet@chinaaet.com。
Baidu
map