您当前的位置: 全球新闻网 > 国内 > 协助VMware修复云产品重大安全漏洞,昆仑实验室连获致谢

协助VMware修复云产品重大安全漏洞,昆仑实验室连获致谢

发布日期:2022-02-18

2月16日,VMware公司发布安全公告VMSA-2022-0004,公告包括了针对影响VMware ESXi、Workstation、Fusion和Cloud Foundation等“看家”云产品的多个漏洞补丁,修复了多个标记为“高危”Critical的安全漏洞。这些漏洞的CVSS评分都高达8.2-8.4,VMWare公司建议所有相关用户紧急升级,修复这些安全漏洞。

值得一提的是,这次安全漏洞的修复,主要就是由国内安全新兴企业“赛博昆仑”旗下的“昆仑实验室”协助VMWare公司完成的。在2021年10月第四届“天府杯”国际网络安全挑战赛中,昆仑实验室发现了VMWare云产品的相关漏洞,也是实验室获得大赛冠军的战绩之一。

昆仑实验室是北京赛博昆仑科技有限公司旗下的安全研究团队。在去年的“天府杯”比赛中,昆仑实验室状态神勇,表现强势,在为期两天的比赛中,先后攻下包括VMware ESXi、VMware workstaion在内共七个比赛项目,赢得65.45万美元的奖金,并强势冲顶,加冕天府杯全球总冠军。

“天府杯”结束以后,各家厂商开始陆续修复中国安全团队在该赛事中发现的安全漏洞。昆仑实验室作为赛事总冠军,从去年起就陆续收到来自苹果、微软、谷歌等厂商的致谢。这一情况一直持续到目前——除了本次VMware的致谢,今年伊始,昆仑实验室成员还收到了来自微软、Adobe PDF Reader等厂商发出的致谢。2022年开年还不到2个月,赛博昆仑和昆仑实验室就已经多次证明了自己超人一筹的技术能力。

此次VMware推出的安全公告中,涵盖了编号为CVE-2021-22040、CVE-2021-22041、CVE-2021-22042、CVE-2021-22043和CVE-2021-22050的五个安全漏洞,除CVE-2021-22050外,其余四个安全漏洞,都由昆仑实验室发现。

图片1.png

其中,CVE-2021-22040为VMware ESXi、Workstation和Fusion在XHCI USB控制器中包含的释放后使用漏洞,该漏洞的存在,可能导致虚拟机上的本地管理权限利用此问题执行代码。CVE-2021-22041则为VMware ESXi、Workstation和Fusion在UHCI USB控制器中包含的双取漏洞,同样可能导致被虚拟机上具有本地管理权限的攻击者利用,在主机上运行虚拟机的VMX进程时执行代码。CVE-2021-22042为VMware ESXi包含的未经授权的访问漏洞,CVE-2021-22043则为VMware ESXi在处理临时文件时存在的TOCTOU检查时间-使用时间漏洞。

图片2.png

图片3.png

图片4.png

图片5.png

按照VMware在本次公告中的评估,这些漏洞都具有极高的危险性。四个漏洞均已被纳入“重要安全问题”,其中CVE-2021-22040、CVE-2021-22041的CVSSv3严重性评分高达8.4,CVE-2021-22042和CVE-2021-22043的评分也达到了8.2。

事实上,自2021年初成立以来,昆仑实验室一直是谷歌、微软、苹果等厂商致谢更新名单上的常客,总能因发现和修补安全漏洞而榜上有名。作为专注提供零日漏洞独家防御能力的新一代网络空间安全公司,赛博昆仑在软硬件与系统安全、云安全、安全攻防对抗等领域,都具备较深经验和技术特点。“昆仑实验室”则由顶级安全专家组成,专门负责高级漏洞研究与对抗。实验室成员在桌面和移动终端系统、云计算和虚拟化平台、IoT与物联网设备、企业级软件、服务器和企业设备等多个漏洞研究方向上都有较深攻防能力和经验。

强大的技术实力,也使赛博昆仑备受资本市场的关注。据统计,去年初成立的赛博昆仑,在第一年内就吸引早期投资接近1.5亿元。对此,投资方代表表示,“赛博昆仑作为国内独家有能力提供完整 0 day漏洞防御与对抗服务的新一代网络安全公司,技术实力已在国际上得到证明。我们认为公司将成为筑牢国家网络安全防线的中坚力量,填补目前网络安全服务市场未满足的需求。我们将持续支持和陪伴公司成长,期待公司未来能更好地守护我国政企网络安全。”

据悉,在新一轮融资完成后,赛博昆仑将持续完善产品矩阵,在包括服务器与工作站安全、云原生与容器安全、高级威胁情报、高级安全溯源等多个企业安全产品与服务方向持续进行研发投入,扩大市场落地。