Zerodium 正在搜集 Windows VPN 客户端零日漏洞

在今天的一条短推文中，漏洞悬赏公司Zerodium表示，他们正在征集零日漏洞，针对市场上三家流行的虚拟专用网(VPN)服务提供商。

VPN服务通过提供商的服务器运行连接，允许用户隐藏其IP地址访问互联网上的资源，

这种路径使第三方更难跟踪用户的在线活动，保护了互联网上的隐私。

http://hackernews.cc/wp-content/uploads/2021/10/%E5%BE%AE%E4%BF%A1%E5%9B%BE%E7%89%87_20211020171459-600x338.jpg

针对Windows的VPN客户端

Zerodium目前关注的是影响Windows客户端NordVPN、ExpressVPN和SurfShark VPN服务的漏洞。它们共同服务着数百万用户，据报道，前两家公司声称全球至少有1700万用户。

根据这三家公司网站上的数据，它们管理着分布在数十个国家的1.1万多台服务器。

Zerodium今天发布的公告呼吁找出可能泄露用户信息、IP地址和可用于实现远程代码执行的漏洞。Zerodium不想要的是本地权限升级漏洞。

http://hackernews.cc/wp-content/uploads/2021/10/%E5%BE%AE%E4%BF%A1%E5%9B%BE%E7%89%87_20211020171508-600x442.jpg

BleepingComputer联系了这三家VPN服务提供商，希望就Zerodium的声明发表评论，但在发布时没有收到回复。

Zerodium的客户群体由政府机构组成，主要来自欧洲和北美，这些机构需要先进的零日漏洞和网络安全能力。

Zerodium声明背后的原因尚不清楚，但其中一个动机可能是，政府客户需要一种方法来识别隐藏在VPN服务背后的网络犯罪活动。

NordVPN和Surfshark过去曾被攻击者使用。

去年，美国联邦调查局(FBI)警告说，伊朗黑客利用NordVPN服务进行虚假的骄傲男孩（ProudBoy）行动。

最近的一个例子是美国国家安全局(NSA)今年警告说，俄罗斯黑客通过TOR和VPN服务(其中包括Surfshark和NordVPN)对Kubernetes服务器发起了暴力破解攻击。

Zerodium公司表示，其业务遵循道德规范，根据严格的标准和审查程序选择客户;而且只有一小部分政府客户能够获得已有的零日研究。

今年早些时候，Zerodium宣布暂时增加对Chrome漏洞的悬赏。Zerodium提供了100万美元，用在可将RCE与SBX链接起来的漏洞。

在Chrome有关的漏洞中，RCE和SBX的奖金分别增加到40万美元。在撰写本文时，这些悬赏仍在进行中。

Zerodium为移动端和电脑端的任何操作系统都提供付费服务。最主要适用于Windows、macOS、LinuxBSD、iOS和Android。

http://hackernews.cc/wp-content/uploads/2021/10/%E5%BE%AE%E4%BF%A1%E5%9B%BE%E7%89%87_20211020171518-600x252.jpg

BleepingComputer联系了Zerodium公司，希望获得更多关于Windows的VPN客户端开发的信息，但在发布时没有得到回复。

消息来源：BleepingComputer，译者：Zoeppo；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc ” 并附上原文链接