La venta de los exploits de Cero-día es un negocio prolífico, el intermediario de día cero Zerodium ofrece recompensas de hasta $ 500,000 FreeBSD, OpenBSD, NetBSD, Linux Zero-Days.
ZERODIUM paga recompensas y recompensas superiores a los investigadores de seguridad para adquirir su investigación original y no reportada de día cero que afecta a los principales sistemas operativos, software y dispositivos", se lee en los sitios web de la compañía . "Si bien la mayoría de los programas de bonificación de errores existentes aceptan casi cualquier clase de vulnerabilidades y PoC, pero pagan recompensas muy bajas, en ZERODIUM nos enfocamos en vulnerabilidades de alto riesgo con exploits completamente funcionales , y pagamos las recompensas más altas en el mercado
Zerodium, al igual que otros brokers de día cero, compra cero días y los vende a agencias gubernamentales y policiales , pero muchos defensores de la privacidad temen que estas fallas puedan ser utilizadas por firmas de vigilancia que venden sus productos a regímenes autoritarios.
La compañía ofrece recompensas de hasta $ 500,000 por exploits de día cero en sistemas operativos basados en UNIX, incluidos OpenBSD, FreeBSD, NetBSD. La misma oferta es para exploits desarrollados a partir de distribuciones populares de Linux como Ubuntu, CentOS, Debian y Tails.
Los precios del día cero varían por varios factores, incluidas las cuotas de mercado de las plataformas / sistemas afectados (los exploits de día cero de Windows para Windows suelen ser más valiosos que los de Linux) y el nivel de interacción del usuario requerido para la explotación de los defectos (no clic, un clic, dos clics, etc.).
Otros factores incluyen la confiabilidad para el exploit de día cero, el número de vulnerabilidades que los atacantes necesitan encadenar para explotar el error, la tasa de éxito y la configuración del sistema operativo que es necesaria para la explotación.
Las recompensas por los días cero de Linux continúan aumentando, una tendencia ya observada desde febrero, cuando las recompensas llegan a los $ 45,000.
La compañía compartió el último disco de adquisición de día cero como parte de su programa ordinario de adquisición de día cero.
El impulso de adquisición incluye ofertas especiales, generalmente asociadas con tarifas más altas, para exploits específicos de día cero.
Zerodium todavía está buscando la ejecución remota de código o los sistemas Linux y BSD de escalamiento de privilegios locales, ofrece recompensas variables que pueden llegar hasta $ 500,000.
Los pagos en firme por escalada de privilegios de Linux exploits de día cero van desde $ 10,000 a $ 30,000, mientras que una escalada de privilegios locales (LPE) en Linux podría pagarse hasta $ 100,000.
Las recompensas por los exploits de ejecución de código remoto de Linux pueden oscilar entre $ 50,000 y $ 500,000, los días cero para CentOS y Ubuntu son los más buscados.
En el pasado, Zerodium ofreció hasta $ 1.5 millones por un exploit de día cero iOS.
Recientemente surgió un nuevo jugador en el mercado de día cero, es Crowdfense quien lanzó un programa de adquisición con premios de $ 10 millones.
Fecha actualización el 2021-07-01. Fecha publicación el 2018-07-01. Categoría: exploit. Autor: Oscar olg Mapa del sitio Fuente: securityaffairs