Sélectionner une page


Zérodium, l’un des courtiers en vulnérabilités les plus connus, a annoncé que les paiements pour les exploits d’exécution de code à distance sur les installations WordPress standard tripleraient. Les paiements sont généralement de 100 000 $, mais ont été temporairement augmentés à 300 000 $.

La société se concentre sur l’acquisition de recherches zero-day originales et non déclarées auparavant. Il rémunère les chercheurs pour les vulnérabilités à haut risque et les exploits pleinement fonctionnels. Les récompenses les plus élevées sont de 2,5 millions de dollars pour les exploits Android avec chaîne complète, zéro clic et persistance. Ce prix a été augmenté de 200000 USD en septembre 2019, ce qui suggère que les exploits Android sont plus difficiles à trouver ou que leur demande a considérablement augmenté.

Les revendeurs d’exploit travaillent dans une sorte de zone grise de la recherche sur la sécurité. Par défaut, les chercheurs en sécurité sont encouragés à signaler les vulnérabilités au développeur d’origine du logiciel, et non à un intermédiaire qui les transmettra à une partie qui ne pourra pas utiliser les informations pour toujours. L’attrait de ces entreprises est qu’elles paient plus que la plupart des organisations, d’où le slogan: « Nous payons de GROSSES primes, pas des primes contre les bogues. « 

WordPress a un compte avec pirate Cependant, payer les chercheurs en sécurité pour les vulnérabilités Paiements sont beaucoup plus petits que ce pour quoi les courtiers d’exploit paient. Cela en fait un choix difficile pour les chercheurs en sécurité qui font cela pour gagner leur vie. Les chasseurs professionnels zero-day recherchent les gains les plus élevés pour les vulnérabilités qu’ils trouvent, qui peuvent parfois durer des mois ou plus.

Zerodium ne divulgue pas qui sont ses clients ni pourquoi ils achètent les vulnérabilités. Le meilleur scénario serait une agence gouvernementale qui souhaite sécuriser ses propres systèmes. Même dans ce cas, il ne peut y avoir aucune garantie qu’ils utiliseront l’exploit de manière éthique ou qu’ils ne perdront pas accidentellement les exploits s’ils pouvaient être utilisés de manière malveillante par d’autres.

Zerodium n’a pas expliqué pourquoi les paiements pour les exploits WordPress ont augmenté à 300000 $. WPScan spécule que la société pourrait soudainement avoir une plus grande demande d’exploits WordPress RCE à mesure que WordPress devient plus sécurisé:

Cela pourrait indiquer que WordPress est de plus en plus sécurisé et qu’il est de plus en plus difficile de trouver les problèmes de sécurité critiques souhaités par les acheteurs. D’un autre côté, nous devons également supposer que ces types d’exploits existent déjà et sont déjà activement vendus sur Zerodium et d’autres plates-formes similaires.

Nous pourrions également en conclure qu’un gouvernement prêt à payer plus de 300 000 $ pour un exploit WordPress RCE a l’intention d’en profiter. Les gouvernements du monde peuvent même échanger sur les exploits afin que le vendeur, en l’occurrence Zerodium, obtienne le meilleur prix.

WPScan a également souligné qu’avec une si grande présence de WordPress sur le Web, un exploit contre le noyau avec ces caractéristiques particulières «serait dévastateur pour l’ensemble du Web s’il tombait entre de mauvaises mains».

«Une augmentation des prix de Zerodium pourrait indiquer qu’il devient de plus en plus difficile de trouver ces problèmes critiques dans WordPress Core», a déclaré Ryan Dewhurst, fondateur et PDG de WPScan. « Cela devrait au moins être une bonne nouvelle pour WordPress et le Web tout entier. »





Source link

Recent Posts