Zerodium готова заплатить до $500 тыс. за эксплоиты для 0Day-уязвимостей в Linux и BSD

Выплаты за эксплоиты для уязвимостей, позволяющих удаленно выполнить код, могут составлять от $50 тыс. до $500 тыс.

Компания Zerodium предлагает вознаграждение в размере до $500 тыс. за эксплоиты для уязвимостей нулевого дня в UNIX-системах, таких как OpenBSD, FreeBSD, NetBSD, а также в дистрибутивах Linux, таких как Ubuntu, CentOS, Debian и Tails. Zerodium, занимающаяся покупкой эксплоитов для их последующей перепродажи правительственным агентствам и правоохранительным органам, часто проводит специальные акции со значительными вознаграждениями, когда ей нужны уязвимости в определенных продуктах.

Ранее выплаты компании за проблемы повышения привилегий в Linux и BSD могли варьироваться от $10 тыс. до $30 тыс. Теперь вознаграждения за уязвимости локального повышения привилегий (LPE) могут достигать $100 тыс. в случае предоставления «эксплойта с эксклюзивным качеством и функционалом», такого как эксплоит для ядра Linux, затрагивающий все основные дистрибутивы. Выплаты за эксплоиты для уязвимостей, позволяющих удаленно выполнить код, могут составлять от $50 тыс. до $500 тыс. в зависимости от целевого программного обеспечения.

Цена эксплоита напрямую связана с его требованиями с точки зрения взаимодействия с пользователем (активируется без щелчка, одним щелчком мыши, двумя щелчками мыши и т. д.). Остальные факторы включают в себя надежность эксплоита, его работоспособность, количество уязвимостей, необходимых для работы эксплоита и конфигурации ОС, необходимой для работы (эксплоиты ценятся больше, если они работают с настройками ОС, установленными по умолчанию).

«Эксплоиты для Windows обычно более ценны, чем для Linux. Однако в случае с серверными средами, Linux привлекает больше интереса со стороны клиентов, а награды могут достигать исключительных значений», — отметили представители компании.