Kunlun Labs、クラウド製品の主要なセキュリティ脆弱性の修正でVMwareに協力し感謝を受ける

Kunlun Labs、クラウド製品の主要なセキュリティ脆弱性の修正でVMwareに協力し感謝を受ける

VMware は 2 月 16 日にセキュリティ アドバイザリ VMSA-2022-0004 をリリースしました。これには、ESXi、Workstation、Fusion、Cloud Foundation などの VMware の「コア」クラウド製品に影響する複数の脆弱性に対するパッチが含まれており、「重大」とマークされた複数のセキュリティ脆弱性が修正されています。これらの脆弱性の CVSS スコアは 8.2 ~ 8.4 と高くなっています。 VMWare は、これらのセキュリティ脆弱性を修正するために、関係するすべてのユーザーに緊急にアップグレードすることを推奨しています。

なお、このセキュリティ脆弱性の修復は、主に国内のセキュリティ新興企業「Cyber​​Kunlun」傘下の「Kunlun Laboratory」の協力を得て、VMWareによって完了した。 2021年10月に開催された第4回「天府杯」国際サイバーセキュリティコンテストで、崑崙研究所はVMWareクラウド製品の関連脆弱性を発見しました。これは、研究所がコンテストで優勝するのに貢献した成果の1つでもありました。

崑崙研究所は、北京サイバー崑崙科技有限公司傘下のセキュリティ研究チームです。昨年の「天府杯」大会では、崑崙研究所は絶好調で好成績を収めました。 2日間の大会期間中、VMware ESXi、VMware Workstationを含む合計7つの競技で優勝し、賞金654,500米ドルを獲得して頂点に立ち、天府杯世界チャンピオンに輝きました。

「天府杯」終了後、さまざまなメーカーが、同イベントで中国のセキュリティチームが発見したセキュリティ上の脆弱性を修正し始めた。コンテストの総合優勝者として、Kunlun Lab は昨年以来、Apple、Microsoft、Google などのメーカーから感謝の意を受けています。この状況は今日まで続いており、今回の VMware からの感謝に加え、今年初めには、Kunlun Lab メンバーは Microsoft や Adob​​e PDF Reader などのメーカーからも感謝を受けました。 2022年に入って2か月も経たないうちに、サイバークンルンとクンルン研究所は優れた技術力を繰り返し実証してきました。

今回VMwareが発表したセキュリティ発表は、CVE-2021-22040、CVE-2021-22041、CVE-2021-22042、CVE-2021-22043、CVE-2021-22050の5つのセキュリティ脆弱性を対象としています。 CVE-2021-22050を除く他の4つのセキュリティ脆弱性は、Kunlun Laboratoryによって発見されました。

このうち、CVE-2021-22040 は、VMware ESXi、Workstation、Fusion の XHCI USB コントローラに含まれる解放後使用の脆弱性です。この脆弱性が存在すると、仮想マシン上のローカル管理者権限でこの問題を悪用してコードが実行される可能性があります。 CVE-2021-22041 は、VMware ESXi、Workstation、Fusion の UHCI USB コントローラにおける二重アクセスの脆弱性であり、仮想マシンの VMX プロセスがホスト上で実行されているときに、仮想マシンのローカル管理者権限を持つ攻撃者がこれを悪用してコードを実行する可能性もあります。 CVE-2021-22042 は VMware ESXi に含まれる不正アクセスの脆弱性であり、CVE-2021-22043 は VMware ESXi が一時ファイルを処理する際に存在する TOCTOU (Time of Check-Time of Use) の脆弱性です。

VMware の今回の発表における評価によれば、これらの脆弱性は非常に危険です。 4つの脆弱性はすべて「重要なセキュリティ問題」に含まれており、そのうちCVE-2021-22040とCVE-2021-22041のCVSSv3重大度スコアは8.4、CVE-2021-22042とCVE-2021-22043のスコアも8.2となっている。

実際、Kunlun Lab は 2021 年初頭の設立以来、Google、Microsoft、Apple などのメーカーのアップデート感謝リストに頻繁に登場しており、セキュリティの脆弱性の発見と修正のリストに常に載っています。ゼロデイ脆弱性に対する独自の防御機能の提供に重点を置く新世代のサイバースペース セキュリティ企業として、Cyber​​Kunlun はソフトウェアとハ​​ードウェア、システム セキュリティ、クラウド セキュリティ、セキュリティ攻撃と防御の分野で豊富な経験と技術的専門知識を持っています。 「崑崙研究所」は、高度な脆弱性研究と対策を担当するトップクラスのセキュリティ専門家で構成されています。研究室のメンバーは、デスクトップおよびモバイル端末システム、クラウド コンピューティングおよび仮想化プラットフォーム、IoT および IoT デバイス、エンタープライズ レベルのソフトウェア、サーバー、エンタープライズ機器など、複数の脆弱性研究方向において、深い攻撃および防御能力と経験を持っています。

Cyber​​Kunlun の強力な技術力は、資本市場においても注目を集めています。統計によると、昨年初めに設立されたサイバークンルンは、初年度に約1億5000万元の初期段階の投資を集めた。これについて、投資家の代表は「サイバークンルンは中国で唯一、完全なゼロデイ脆弱性防御・対策サービスを提供できる新世代サイバーセキュリティ企業であり、その技術力は国際的にも実証されている。同社は国家サイバーセキュリティ防衛ライン強化のバックボーンとなり、現在のサイバーセキュリティサービス市場の満たされていないニーズを満たすと信じている。当社は引き続き同社の成長を支援、伴走し、同社が将来、中国政府と企業のネットワークセキュリティをより良く保護することを期待している」と述べた。

報道によると、サイバークンルンは新たな資金調達ラウンドの完了後も製品マトリックスの改善を続け、サーバーおよびワークステーションのセキュリティ、クラウドネイティブおよびコンテナのセキュリティ、高度な脅威インテリジェンス、高度なセキュリティ追跡など、複数のエンタープライズセキュリティ製品とサービスの研究開発に投資を続け、市場実装を拡大していくという。

<<:  「ゼロサムゲーム」から「プラスサムゲーム」へ、PaaS がクラウドコンピューティングの第 3 の波を引き起こす

>>:  分散トレースに Spring Cloud Sleuth と Zipkin を使用するためのガイド

推薦する

環境デーへようこそ。グリーンビジネストラベルを推進する方法について話し合いましょう。

2019年6月5日、世界環境デーの世界的なメインイベントが中国で開催されました。 「私は青空を守る戦...

Kafka アプリケーションを理解するための 2 つの図

[[270715]]Kafka の用語ブローカー: メッセージを保存する中間の Kafka クラスタ...

B2C+BBS ShopexとDiscuzの統合に関する詳細なチュートリアル

ShopExは中国で最も市場シェアの高いオンラインストアソフトウェアであり、Discuzは世界で最も...

[更新] 人気のある「安価な米国 VPS ホスティング」業者をいくつか集めて、どの「安価な米国 VPS ホスティング」があなたに適しているかを調べてください。

海外には安い商品が多すぎて、どう選べばいいのか分からない。現在、市場に出回っている安価なアメリカの ...

高品質なコンテンツと外部リンクを構築するときに注意すべき点

ウェブマスターのウェブサイトは、開設から登録まで順調に進むことはなく、私も例外ではありません。私が以...

「クラウドネイティブ」Elasticsearch + Kibana on k8sの解説と実践的な操作

1. 概要Elasticsearch は Lucene をベースにした検索エンジンです。 HTTP ...

Hostflyte: VPS IPの変更はわずか2ドル、4Gメモリ/20g SSD/4Tトラフィックの場合は年間11ドル

hostflyte からの最新ニュース: 公式が VPS コントロール パネルに「IP アドレスの変...

適切なフレームワークの選び方 - 分散タスクスケジューリングフレームワークの選択

1. 背景スケジュールされたタスクは、私たちの開発において不可欠な部分です。たとえば、一部の電子商取...

cloudcone: ストレージ VPS (大容量ハードディスク VPS)、年間 20 ドル、1G メモリ/1 コア/250g ハードディスク/5T ストリーミング

Cloudcone は、大量のトラフィックに対応する安価な大容量ハード ドライブ VPS (ストレー...

オンライン薬局の成長痛:資格不足と制御不能な物流

どのオンライン薬局も成長痛を抱えているビジネスデイリーグラフィックス、Xu Qiaowei 著200...

51.com の robots.txt に何か問題がありますか?

robots.txt ファイルとは何ですか?検索エンジンは、ロボット (スパイダーとも呼ばれる) と...

企業のデータ分析をクラウドに移行するのは簡単ではない

クラウド内の新しいプラットフォームでデータ ウェアハウスとデータ マートを最新化することを検討してい...

この記事では、「エッジコンピューティング」とモノのインターネットの密接な関係について説明します。

モノのインターネットの究極の目標は、あらゆるものを接続することです。しかし、現在のブロードバンドレベ...

クラウドコンピューティング市場は2028年までに1兆2,664億ドルに達する

人工知能と機械学習はクラウド コンピューティング市場を牽引し、2028 年までに 1 兆 2,664...

#著作権なしの VPS# hostsolutions-$2.37/1T ハードディスク/1g メモリ/10T トラフィック/ルーマニア

Hostsolutions はルーマニアのデータセンターに安価な VPS を多数提供しており、DMC...