Zérodium, l’un des courtiers en vulnérabilités de sécurité les plus connus, a annoncé qu’il triplait les paiements pour les exploits d’exécution de code à distance sur les installations WordPress par défaut. Les paiements sont généralement de 100 000 $, mais ont été temporairement augmentés à 300 000 $.

La société se concentre sur l’acquisition de recherches zero-day originales et non déclarées auparavant. Il paie les chercheurs pour les vulnérabilités à haut risque et les exploits entièrement fonctionnels, avec les récompenses les plus élevées à 2,5 millions de dollars pour les exploits Android “ chaîne complète, zéro clic, avec persistance ”. Ce prix a été augmenté de 200 000 $ en septembre 2019, ce qui suggère que les exploits Android sont devenus plus difficiles à trouver ou que la demande pour ceux-ci a considérablement augmenté.

Les revendeurs d’exploit opèrent dans une sorte de zone grise de la recherche sur la sécurité. En tant que pratique courante, les chercheurs en sécurité sont encouragés à signaler les vulnérabilités au développeur d’origine du logiciel, et non à un intermédiaire qui pourrait les transmettre à une partie qui pourrait ne pas utiliser les informations pour de bon. L’attrait de ces entreprises est qu’elles paient plus que la plupart des organisations, d’où le slogan: Nous payons de GROS primes, pas des primes contre les bogues. “

WordPress a un compte avec Hackerone pour payer les chercheurs en sécurité pour les vulnérabilités mais paiements sont beaucoup plus petits par rapport à ce que paient les courtiers d’exploit. Cela en fait un choix difficile pour les chercheurs en sécurité qui font cela pour gagner leur vie. Les chasseurs professionnels zero-day recherchent les paiements les plus élevés pour les vulnérabilités qu’ils découvrent, ce qui peut parfois prendre des mois ou plus.

Zerodium ne révèle pas qui sont ses clients ni quel est leur but pour acheter les vulnérabilités. Le meilleur scénario serait une entité gouvernementale souhaitant sécuriser ses propres systèmes. Même dans ce cas, on ne peut pas garantir qu’ils utilisent l’exploit de manière éthique ou qu’ils ne divulguent pas par inadvertance les exploits là où ils pourraient être utilisés de manière malveillante par d’autres.

Zerodium n’a pas expliqué pourquoi il avait augmenté les paiements pour les exploits WordPress à 300K $. WPScan spécule que la société pourrait soudainement avoir une plus grande demande d’exploits WordPress RCE, combinée avec WordPress devenant plus sécurisé:

Cela pourrait indiquer que WordPress est de plus en plus sécurisé et qu’il est de plus en plus difficile de trouver les problèmes de sécurité critiques souhaités par les acheteurs. D’un autre côté, nous devons également supposer que ces types d’exploits existent déjà et sont déjà activement vendus sur Zerodium et d’autres plates-formes similaires.

Nous pourrions également conclure que si un gouvernement va payer plus de 300 000 $ sur un exploit WordPress RCE, il a l’intention de l’utiliser. Les gouvernements mondiaux peuvent même troquer les exploits afin que le vendeur, dans ce cas, Zerodium, obtienne le meilleur prix.

WPScan a également souligné qu’avec WordPress ayant une si grande présence sur le Web, un exploit contre le cœur avec ces caractéristiques particulières «serait dévastateur pour le Web dans son ensemble s’il tombait entre de mauvaises mains.»

«Zerodium augmente ses prix peut indiquer qu’il est de plus en plus difficile de trouver ces problèmes critiques dans WordPress Core», a déclaré Ryan Dewhurst, fondateur et PDG de WPScan. «Cela devrait au moins être une bonne nouvelle pour WordPress et le Web dans son ensemble.»



Source link