pixabay bug bounty man 4886221 1280

Zerodium oferece US$ 100 mil para zero day de VCenter Server

A Zerodium, uma empresa especializada em bug bounty de zero days (recompensa a vulnerabilidades ainda não registradas pela indústria) anunciou que está pagando até US$ 100 mil para zero days do VMware Vcenter Server que permitam execução remota de código. Neste momento também estão sendo oferecidas temporariamente recompensas para Moodle (US$ 25 mil), Pidgin (US$ 100 mil), ISPConfig (US$ 50 mil) e WordPress (US$ 300 mil, após ter sido publicada por US$ 100 mil). Existem três temporárias já encerradas: IceWarp, SAP NetWeaver e VMware ESXi. Não há informações confirmando se foram ou não recebidos exploits para essas soluções.

O anúncio do bounty de Vcenter foi feito no dia 5 de julho, com o título de “Recompensas de bugs por tempo limitado”. O texto explica que a empresa está “procurando exploits de pré-autenticação que afetam as versões recentes do VMware vCenter Server. A exploração deve permitir a execução remota de código, trabalhar com instalações padrão e portas / serviços padrão e não deve exigir nenhuma autenticação ou interação do usuário”. A caça a esse tipo de bug está aberta até 30 de setembro.

Veja isso
Tor 7.x está totalmente vulnerável
Teams inaugura programa de bug bounty da Microsoft para aplicativos

Com sede na capital dos Estados Unidos (Washington, DC) e filial na Europa, a Zerodium foi fundada em em 23 de julho de 2015 pelos mesmos fundadores da Vupen, empresa sediada em Montpellier (França) cujo negócio era exatamente o mesmo – comprar zero days para revendê-los. A Zerodium foi a primeira empresa a lançar uma tabela de preços completa para zero odays, variando de US$ 5.000 a US$ 1.500.000 por exploit. Supõe-se que em 2015 a empresa estava gastando entre US$ 400 mil e US$ 600 mil mensais com aquisições.

A empresa revelou em junho de 2021 que tem mais de 1.500 pesquisadores cadastrados. Seus programas permanentes de bug bounty incluem sistemas operacionais, browsers, dispositivos móveis, servidores web e até hardware.

Com informações de agências internacionais e da WikiPedia