Kunlun Labs、クラウド製品の主要なセキュリティ脆弱性の修正でVMwareに協力し感謝を受ける

VMware は 2 月 16 日にセキュリティ アドバイザリ VMSA-2022-0004 をリリースしました。これには、ESXi、Workstation、Fusion、Cloud Foundation などの VMware の「コア」クラウド製品に影響する複数の脆弱性に対するパッチが含まれており、「重大」とマークされた複数のセキュリティ脆弱性が修正されています。これらの脆弱性の CVSS スコアは 8.2 ～ 8.4 と高くなっています。 VMWare は、これらのセキュリティ脆弱性を修正するために、関係するすべてのユーザーに緊急にアップグレードすることを推奨しています。

なお、このセキュリティ脆弱性の修復は、主に国内のセキュリティ新興企業「Cyber​​Kunlun」傘下の「Kunlun Laboratory」の協力を得て、VMWareによって完了した。 2021年10月に開催された第4回「天府杯」国際サイバーセキュリティコンテストで、崑崙研究所はVMWareクラウド製品の関連脆弱性を発見しました。これは、研究所がコンテストで優勝するのに貢献した成果の1つでもありました。

崑崙研究所は、北京サイバー崑崙科技有限公司傘下のセキュリティ研究チームです。昨年の「天府杯」大会では、崑崙研究所は絶好調で好成績を収めました。 2日間の大会期間中、VMware ESXi、VMware Workstationを含む合計7つの競技で優勝し、賞金654,500米ドルを獲得して頂点に立ち、天府杯世界チャンピオンに輝きました。

「天府杯」終了後、さまざまなメーカーが、同イベントで中国のセキュリティチームが発見したセキュリティ上の脆弱性を修正し始めた。コンテストの総合優勝者として、Kunlun Lab は昨年以来、Apple、Microsoft、Google などのメーカーから感謝の意を受けています。この状況は今日まで続いており、今回の VMware からの感謝に加え、今年初めには、Kunlun Lab メンバーは Microsoft や Adob​​e PDF Reader などのメーカーからも感謝を受けました。 2022年に入って2か月も経たないうちに、サイバークンルンとクンルン研究所は優れた技術力を繰り返し実証してきました。

今回VMwareが発表したセキュリティ発表は、CVE-2021-22040、CVE-2021-22041、CVE-2021-22042、CVE-2021-22043、CVE-2021-22050の5つのセキュリティ脆弱性を対象としています。 CVE-2021-22050を除く他の4つのセキュリティ脆弱性は、Kunlun Laboratoryによって発見されました。

このうち、CVE-2021-22040 は、VMware ESXi、Workstation、Fusion の XHCI USB コントローラに含まれる解放後使用の脆弱性です。この脆弱性が存在すると、仮想マシン上のローカル管理者権限でこの問題を悪用してコードが実行される可能性があります。 CVE-2021-22041 は、VMware ESXi、Workstation、Fusion の UHCI USB コントローラにおける二重アクセスの脆弱性であり、仮想マシンの VMX プロセスがホスト上で実行されているときに、仮想マシンのローカル管理者権限を持つ攻撃者がこれを悪用してコードを実行する可能性もあります。 CVE-2021-22042 は VMware ESXi に含まれる不正アクセスの脆弱性であり、CVE-2021-22043 は VMware ESXi が一時ファイルを処理する際に存在する TOCTOU (Time of Check-Time of Use) の脆弱性です。

VMware の今回の発表における評価によれば、これらの脆弱性は非常に危険です。 4つの脆弱性はすべて「重要なセキュリティ問題」に含まれており、そのうちCVE-2021-22040とCVE-2021-22041のCVSSv3重大度スコアは8.4、CVE-2021-22042とCVE-2021-22043のスコアも8.2となっている。

実際、Kunlun Lab は 2021 年初頭の設立以来、Google、Microsoft、Apple などのメーカーのアップデート感謝リストに頻繁に登場しており、セキュリティの脆弱性の発見と修正のリストに常に載っています。ゼロデイ脆弱性に対する独自の防御機能の提供に重点を置く新世代のサイバースペース セキュリティ企業として、Cyber​​Kunlun はソフトウェアとハ​​ードウェア、システム セキュリティ、クラウド セキュリティ、セキュリティ攻撃と防御の分野で豊富な経験と技術的専門知識を持っています。 「崑崙研究所」は、高度な脆弱性研究と対策を担当するトップクラスのセキュリティ専門家で構成されています。研究室のメンバーは、デスクトップおよびモバイル端末システム、クラウド コンピューティングおよび仮想化プラットフォーム、IoT および IoT デバイス、エンタープライズ レベルのソフトウェア、サーバー、エンタープライズ機器など、複数の脆弱性研究方向において、深い攻撃および防御能力と経験を持っています。

Cyber​​Kunlun の強力な技術力は、資本市場においても注目を集めています。統計によると、昨年初めに設立されたサイバークンルンは、初年度に約1億5000万元の初期段階の投資を集めた。これについて、投資家の代表は「サイバークンルンは中国で唯一、完全なゼロデイ脆弱性防御・対策サービスを提供できる新世代サイバーセキュリティ企業であり、その技術力は国際的にも実証されている。同社は国家サイバーセキュリティ防衛ライン強化のバックボーンとなり、現在のサイバーセキュリティサービス市場の満たされていないニーズを満たすと信じている。当社は引き続き同社の成長を支援、伴走し、同社が将来、中国政府と企業のネットワークセキュリティをより良く保護することを期待している」と述べた。

報道によると、サイバークンルンは新たな資金調達ラウンドの完了後も製品マトリックスの改善を続け、サーバーおよびワークステーションのセキュリティ、クラウドネイティブおよびコンテナのセキュリティ、高度な脅威インテリジェンス、高度なセキュリティ追跡など、複数のエンタープライズセキュリティ製品とサービスの研究開発に投資を続け、市場実装を拡大していくという。