ZDI 更新对服务器漏洞等高价值目标的激励计划

聚焦源代码安全，网罗国内外最新资讯！

编译：360代码卫士团队

7月份，趋势科技ZDI宣布推出针对性激励计划(Targeted Incentive Program, TIP)，专门针对高价值目标。当时主要集中于服务器端漏洞，最初的目标列表包括Joomla、Drupal、Wordpress、NGINX、Apache Web Server和微软IIS。目前增设了其它目标。

ZDI表示目前尚未收到符合任意类别的提交，不过倒是从常规的ZDI计划中收到了一些有意思的bug类型。例如，收到了可导致在目标系统上执行代码的多个Drupal漏洞。当攻击者将三个恶意“图像”上传至目标服务器并诱骗站点管理员点击特殊构造的连接就能实现代码执行，详情将在漏洞修复后公开。ZDI表示虽然这种研究非常值得赞赏，但并非复杂利用链导致的代码执行，因此并不符合要求。

截止目前，Joomla、Drupal和WordPress已不再属于TIP计划之列。研究人员如发现这些产品中的bug，可通过标准流程提交，无需完整的exp即可获得奖励。

新增的目标产品也提供高额奖励。首个提交成功的OpenSSH代码执行链的研究人员将获得20万美元的奖励。ZDI表示最近新闻中提到某个认证bug可导致易受攻击的服务器通过libssh遭控制，但要获得这个类别中的全部奖励需要稍复杂的认证方法。不过考虑到OpenSSH的使用范围，任何bug都将产生重大影响。

第二个新增的目标是ISC BIND。它最近也出现在新闻中，原因是“deny-answer-aliases”功能中存在一个bug，可导致拒绝服务条件产生。ZDI表示，这个漏洞也不足以获得TIP奖励，不过确实说明了最常见的DNS服务器中可能存在非常严重的bug。如果某个极少使用的功能中存在拒绝服务问题就能上头条，说明代码执行漏洞的影响将更大。ZDI为此类漏洞提供的奖励是20万美元。

最后新增的目标还包括Windows SMB。多年来已经出现很多和SMB相关的exp，其中最新的案例出现在永恒之蓝/想哭恶意软件中。SMBv1不在奖励范围之内。微软建议禁用这个过时的版本，因此这次TIP计划并不包含该版本。最新版本包含在内，第一个提交漏洞的研究员将获得20万美元的奖励。

如下是完整的目标产品和奖励列表：

TIP奖励总额将达到120万美元。ZDI表示，本期奖金被颁发且目标时限结束后，将持续更新TIP计划。