【安全资讯】漏洞军火商Zerodium正在寻求Windows VPN客户端零日漏洞

引言

10月19日，漏洞军火商Zerodium表示正在寻求针对市场上三个流行的虚拟专用网络(VPN)服务提供商的零日漏洞。Zerodium寻求的目标的是影响Windows客户端NordVPN、ExpressVPN和SurfShark VPN服务的漏洞。这几家公司共同服务着数百万用户，管理着分布在数十个国家的 11,000 多台服务器。据报道，NordVPN和ExpressVPN曾声称在全球拥有至少1700万用户。

简况

Zerodium今天发布的公告称，要寻找可能泄露用户信息、IP地址以及可用于实现远程代码执行的漏洞，不想要本地权限升级漏洞。Zerodium发布的公告如下：

Zerodium的客户群由政府机构组成，主要来自欧洲和北美，这些机构需要先进的零日漏洞利用和网络安全能力。漏洞利用经纪人发布声明的原因目前仍未公开，但一个动机可能是，政府客户需要一种方法来识别隐藏在 VPN 服务背后的网络犯罪活动。NordVPN和Surfshark过去曾被攻击者使用过，去年，FBI警告称伊朗黑客利用NordVPN服务开展ProudBoys活动。此外，美国国家安全局(NSA)今年发布警告称，俄罗斯黑客通过TOR和VPN服务对Kubernetes服务器发起了暴力破解攻击，其中包括Surfshark和NordVPN。

Zerodium为移动端和电脑端的任何操作系统都提供付费，包括Windows、macOS、LinuxBSD、iOS和Android，费用及系统如下图：

Zerodium表示，公司的业务以道德为指导，根据严格的标准和审查程序选择客户，只有少数政府客户可以获得该公司已有的零日研究。今年早些时候，Zerodium宣布临时增加Chrome漏洞的寻求金额。Zerodium提供100万美元用于寻求将远程代码执行(RCE)与沙箱逃逸(SBX)链接起来的漏洞。Chrome中RCE和SBX的奖金分别增加至40万美元。