协助 VMware 修复云产品重大安全漏洞,昆仑实验室连获致谢
2 月 16 日,VMware 公司发布安全公告 VMSA-2022-0004,公告包括了针对影响 VMware ESXi、Workstation、Fusion 和 Cloud Foundation 等"看家"云产品的多个漏洞补丁,修复了多个标记为"高危"(Critical)的安全漏洞。这些漏洞的 CVSS 评分都高达 8.2-8.4,VMWare 公司建议所有相关用户紧急升级,修复这些安全漏洞。
值得一提的是,这次安全漏洞的修复,主要就是由国内安全新兴企业"赛博昆仑"旗下的"昆仑实验室"协助 VMWare 公司完成的。在 2021 年 10 月第四届"天府杯"国际网络安全挑战赛中,昆仑实验室发现了 VMWare 云产品的相关漏洞,也是实验室获得大赛冠军的战绩之一。
昆仑实验室是北京赛博昆仑科技有限公司旗下的安全研究团队。在去年的"天府杯"比赛中,昆仑实验室状态神勇,表现强势,在为期两天的比赛中,先后攻下包括 VMware ESXi、VMware workstaion 在内共七个比赛项目,赢得 65.45 万美元的奖金,并强势冲顶,加冕天府杯全球总冠军。
"天府杯"结束以后,各家厂商开始陆续修复中国安全团队在该赛事中发现的安全漏洞。昆仑实验室作为赛事总冠军,从去年起就陆续收到来自苹果、微软、谷歌等厂商的致谢。这一情况一直持续到目前 -- 除了本次 VMware 的致谢,今年伊始,昆仑实验室成员还收到了来自微软、Adobe PDF Reader 等厂商发出的致谢。2022 年开年还不到 2 个月,赛博昆仑和昆仑实验室就已经多次证明了自己超人一筹的技术能力。
此次 VMware 推出的安全公告中,涵盖了编号为 CVE-2021-22040、CVE-2021-22041、CVE-2021-22042、CVE-2021-22043 和 CVE-2021-22050 的五个安全漏洞,除 CVE-2021-22050 外,其余四个安全漏洞,都由昆仑实验室发现。
其中,CVE-2021-22040 为 VMware ESXi、Workstation 和 Fusion 在 XHCI USB 控制器中包含的释放后使用漏洞,该漏洞的存在,可能导致虚拟机上的本地管理权限利用此问题执行代码。CVE-2021-22041 则为 VMware ESXi、Workstation 和 Fusion 在 UHCI USB 控制器中包含的双取漏洞,同样可能导致被虚拟机上具有本地管理权限的攻击者利用,在主机上运行虚拟机的 VMX 进程时执行代码。CVE-2021-22042 为 VMware ESXi 包含的未经授权的访问漏洞,CVE-2021-22043 则为 VMware ESXi 在处理临时文件时存在的 TOCTOU(检查时间-使用时间)漏洞。
按照 VMware 在本次公告中的评估,这些漏洞都具有极高的危险性。四个漏洞均已被纳入"重要安全问题",其中 CVE-2021-22040、CVE-2021-22041 的 CVSSv3 严重性评分高达 8.4,CVE-2021-22042 和 CVE-2021-22043 的评分也达到了 8.2。
事实上,自 2021 年初成立以来,昆仑实验室一直是谷歌、微软、苹果等厂商致谢更新名单上的常客,总能因发现和修补安全漏洞而榜上有名。作为专注提供零日漏洞独家防御能力的新一代网络空间安全公司,赛博昆仑在软硬件与系统安全、云安全、安全攻防对抗等领域,都具备较深经验和技术特点。"昆仑实验室"则由顶级安全专家组成,专门负责高级漏洞研究与对抗。实验室成员在桌面和移动终端系统、云计算和虚拟化平台、IoT 与物联网设备、企业级软件、服务器和企业设备等多个漏洞研究方向上都有较深攻防能力和经验。
强大的技术实力,也使赛博昆仑备受资本市场的关注。据统计,去年初成立的赛博昆仑,在第一年内就吸引早期投资接近 1.5 亿元。对此,投资方代表表示,"赛博昆仑作为国内独家有能力提供完整 0 day 漏洞防御与对抗服务的新一代网络安全公司,技术实力已在国际上得到证明。我们认为公司将成为筑牢国家网络安全防线的中坚力量,填补目前网络安全服务市场未满足的需求。我们将持续支持和陪伴公司成长,期待公司未来能更好地守护我国政企网络安全。"
据悉,在新一轮融资完成后,赛博昆仑将持续完善产品矩阵,在包括服务器与工作站安全、云原生与容器安全、高级威胁情报、高级安全溯源等多个企业安全产品与服务方向持续进行研发投入,扩大市场落地。
2022-05-06 00:32:10