利用漏洞的厂商Zerodium今天宣布,计划为流行的云技术(如Microsoft的Hyper-V和(戴尔)VMware的vSphere)支付零日费用的高达50万美元。
Hyper-V和vSphere都是专家所谓的虚拟化软件,也称为虚拟机监控程序(hypervisors)软件,它使单个“主机”服务器创建并运行一个或多个虚拟“来宾”操作系统。
虚拟化软件通常在基于云的数据中心中找到。Hyper-V是Microsoft Azure云计算平台的核心技术,而Amazon Web Services和SAP使用VMware vSphere。
随着云服务的普及,尤其是用于托管网站和关键IT基础架构的云服务,近年来,这两种技术的重要性一直在缓慢增长。
在漏洞利用市场上,这种范式转换并没有引起人们的注意,Zerodium是总部位于华盛顿特区的漏洞利用软件供应商,是迄今为止的领先公司。在今天早些时候的一条推文中,Zerodium宣布了计划支付500,000美元以在Hyper-V和vSphere中完全正常工作的零日费用,这将使攻击者能够从虚拟访客操作系统逃脱到主机服务器的操作系统。
该公司在推特上说:“这些漏洞必须与默认配置一起使用,并且必须可靠,并能够完全访问主机。”
我们将针对针对VMware ESXi(vSphere)或Microsoft Hyper-V的#0day漏洞支付高达50万美元的费用,并允许访客到主机的转义。
该漏洞利用程序必须使用默认配置,并且必须可靠并且可以完全访问主机。联系我们:https : //t.co/8NeubPvSdj
— Zerodium(@Zerodium)2019年3月5日
此类推文和报价对Zerodium来说并不是什么新鲜事物。该公司通常会为漏洞利用支付固定价格,然后在所谓的“漏洞获取突袭”期间提高支出,这是为了有意扩大针对某些类型的漏洞利用类的服务。
Zerodium之前曾在iOS,即时通讯应用程序,Tor浏览器,Linux,Adobe Flash Player,路由器和USB拇指驱动器中进行为期零天的收购突击检查。
这些收购突袭通常只限于几个星期,之后付款将恢复到正常定价范围。
Zerodium首席执行官Chaouki Bekrar 通过电子邮件告诉ZDNet: “我们向虚拟化管理程序支付的新款项将持续几个月,然后我们将决定是否减少或保持较高水平,具体取决于我们将进行的收购数量。”
根据其价格图表,在进行今天的收购行动之前,Zerodium过去曾支付高达20万美元的vSphere和Hyper-V漏洞利用费。
在微软去年夏天为Hyper-V漏洞支付了25万美元的费用之后,微软就加大了对hypervisor漏洞利用的支付,此举使Zerodium和其他漏洞利用者的出价超过了微软。
Bekrar告诉ZDNet: “微软对Hyper-V攻击的赏金对研究人员非常有吸引力,但是,VMWare并没有向零日狩猎者支付任何费用。”
Bekrar说:“我们已经决定填补这一空白,我们已经为这些漏洞支付了20万美元,到目前为止,我们已经获得了许多漏洞。”
“但是,我们最近发现客户的需求有所增加,并且我们决定将悬赏金提高到500,000美元,以超过出价高的卖方和所有现有买方。”
公司所指的客户是政府和执法机构。
他们对云零日活动的兴趣日益增加只是正常现象,这是因为看到AWS和Azure逐渐蚕食了网络托管市场,越来越少的Web托管提供商托管自己的数据中心,而更多的提供商选择租用云服务器。
由于网络犯罪,恶意软件和APT操作通常托管在云服务器上,因此,这些机构对接管托管恶意基础结构的云服务器的兴趣通常是正常的。
根据先前的声明,Zerodium将自己描述为一个从安全研究人员那里购买零日漏洞并将漏洞出售给政府和执法机构的供应商。尽管其他漏洞利用软件供应商已经开始向骇人听闻的政权出售黑客工具,但在撰写本文时,还没有关于Zerodium的此类报道。