Ranljivosti v oblačni programski opremi gredo za pol milijona dolarjev
Matej Huš
5. mar 2019 ob 22:54:26
Zerodium, znano podjetje, ki se ukvarja z odkupovanje in preprodajo ranljivosti v programski opremi, je sporočilo, da bo odkupilo informacije o ranljivostih v programski opremi za storitve v oblaku, denimo v VMware ESXi (VSphere) ali Microsoft Hype-V. Za ranljivosti, ki delujejo na običajno nastavljenih napravah in omogočijo pobeg od gostitelja do gosta (Guest-to-Host escape), ponujajo do 500.000 dolarjev. Čeprav se to sliši veliko, pa gre v resnici za precej nizek znesek za resnično neznane (0day) ranljivosti.
Zerodium, ki ga je ustanovil Chaouki Bekrar, ki je bil znan kot vodja francoskega VUPEN-a, namreč ni edini igralec, ki odkupuje ranljivosti. Hudo konkurenco ima tudi v državnih ustanovah, denimo v ameriški NSA. Ta naj bi imela precej velik arzenal ranljivosti in tudi nakupovala nove, kar pa NSA zanika. Toda NSA je v preteklosti odkupovala ranljivosti celo od VUPEN-a in naj bi podobno počela še danes.
Podobne ponudbe Zerodium sicer večkrat objavi. Za ranljivosti običajno plačujejo fiksne zneske, vsake toliko časa pa objavijo boljše ponudbe, ko želijo izboljšati svoj portfelj ranljivosti s točno določenimi izdelki. Tako so že ponujali dva milijona dolarjev za oddaljen jailbreak iOS-a, milijon dolarjev za napad na Tor, pol milijona dolarjev za vdor v aplikacije za hipno sporočanje in številne druge (Flash, usmerjevalniki in celo USB-ključki). Običajno te akcije - tako bo tudi s tokratno, je pojasnil Bekrar - trajajo nekaj mesecev. Za zadnjo akcijo so se odločili, ker so opazili povečano povpraševanje kupcev po tovrstnih ranljivostih. To ni presenetljivo, saj AWS in Azure počasi prevzemata celotni trg.