Kunlun Labs、クラウド製品の主要なセキュリティ脆弱性の修正でVMwareに協力し感謝を受ける

Kunlun Labs、クラウド製品の主要なセキュリティ脆弱性の修正でVMwareに協力し感謝を受ける

VMware は 2 月 16 日にセキュリティ アドバイザリ VMSA-2022-0004 をリリースしました。これには、ESXi、Workstation、Fusion、Cloud Foundation などの VMware の「コア」クラウド製品に影響する複数の脆弱性に対するパッチが含まれており、「重大」とマークされた複数のセキュリティ脆弱性が修正されています。これらの脆弱性の CVSS スコアは 8.2 ~ 8.4 と高くなっています。 VMWare は、これらのセキュリティ脆弱性を修正するために、関係するすべてのユーザーに緊急にアップグレードすることを推奨しています。

なお、このセキュリティ脆弱性の修復は、主に国内のセキュリティ新興企業「Cyber​​Kunlun」傘下の「Kunlun Laboratory」の協力を得て、VMWareによって完了した。 2021年10月に開催された第4回「天府杯」国際サイバーセキュリティコンテストで、崑崙研究所はVMWareクラウド製品の関連脆弱性を発見しました。これは、研究所がコンテストで優勝するのに貢献した成果の1つでもありました。

崑崙研究所は、北京サイバー崑崙科技有限公司傘下のセキュリティ研究チームです。昨年の「天府杯」大会では、崑崙研究所は絶好調で好成績を収めました。 2日間の大会期間中、VMware ESXi、VMware Workstationを含む合計7つの競技で優勝し、賞金654,500米ドルを獲得して頂点に立ち、天府杯世界チャンピオンに輝きました。

「天府杯」終了後、さまざまなメーカーが、同イベントで中国のセキュリティチームが発見したセキュリティ上の脆弱性を修正し始めた。コンテストの総合優勝者として、Kunlun Lab は昨年以来、Apple、Microsoft、Google などのメーカーから感謝の意を受けています。この状況は今日まで続いており、今回の VMware からの感謝に加え、今年初めには、Kunlun Lab メンバーは Microsoft や Adob​​e PDF Reader などのメーカーからも感謝を受けました。 2022年に入って2か月も経たないうちに、サイバークンルンとクンルン研究所は優れた技術力を繰り返し実証してきました。

今回VMwareが発表したセキュリティ発表は、CVE-2021-22040、CVE-2021-22041、CVE-2021-22042、CVE-2021-22043、CVE-2021-22050の5つのセキュリティ脆弱性を対象としています。 CVE-2021-22050を除く他の4つのセキュリティ脆弱性は、Kunlun Laboratoryによって発見されました。

このうち、CVE-2021-22040 は、VMware ESXi、Workstation、Fusion の XHCI USB コントローラに含まれる解放後使用の脆弱性です。この脆弱性が存在すると、仮想マシン上のローカル管理者権限でこの問題を悪用してコードが実行される可能性があります。 CVE-2021-22041 は、VMware ESXi、Workstation、Fusion の UHCI USB コントローラにおける二重アクセスの脆弱性であり、仮想マシンの VMX プロセスがホスト上で実行されているときに、仮想マシンのローカル管理者権限を持つ攻撃者がこれを悪用してコードを実行する可能性もあります。 CVE-2021-22042 は VMware ESXi に含まれる不正アクセスの脆弱性であり、CVE-2021-22043 は VMware ESXi が一時ファイルを処理する際に存在する TOCTOU (Time of Check-Time of Use) の脆弱性です。

VMware の今回の発表における評価によれば、これらの脆弱性は非常に危険です。 4つの脆弱性はすべて「重要なセキュリティ問題」に含まれており、そのうちCVE-2021-22040とCVE-2021-22041のCVSSv3重大度スコアは8.4、CVE-2021-22042とCVE-2021-22043のスコアも8.2となっている。

実際、Kunlun Lab は 2021 年初頭の設立以来、Google、Microsoft、Apple などのメーカーのアップデート感謝リストに頻繁に登場しており、セキュリティの脆弱性の発見と修正のリストに常に載っています。ゼロデイ脆弱性に対する独自の防御機能の提供に重点を置く新世代のサイバースペース セキュリティ企業として、Cyber​​Kunlun はソフトウェアとハ​​ードウェア、システム セキュリティ、クラウド セキュリティ、セキュリティ攻撃と防御の分野で豊富な経験と技術的専門知識を持っています。 「崑崙研究所」は、高度な脆弱性研究と対策を担当するトップクラスのセキュリティ専門家で構成されています。研究室のメンバーは、デスクトップおよびモバイル端末システム、クラウド コンピューティングおよび仮想化プラットフォーム、IoT および IoT デバイス、エンタープライズ レベルのソフトウェア、サーバー、エンタープライズ機器など、複数の脆弱性研究方向において、深い攻撃および防御能力と経験を持っています。

Cyber​​Kunlun の強力な技術力は、資本市場においても注目を集めています。統計によると、昨年初めに設立されたサイバークンルンは、初年度に約1億5000万元の初期段階の投資を集めた。これについて、投資家の代表は「サイバークンルンは中国で唯一、完全なゼロデイ脆弱性防御・対策サービスを提供できる新世代サイバーセキュリティ企業であり、その技術力は国際的にも実証されている。同社は国家サイバーセキュリティ防衛ライン強化のバックボーンとなり、現在のサイバーセキュリティサービス市場の満たされていないニーズを満たすと信じている。当社は引き続き同社の成長を支援、伴走し、同社が将来、中国政府と企業のネットワークセキュリティをより良く保護することを期待している」と述べた。

報道によると、サイバークンルンは新たな資金調達ラウンドの完了後も製品マトリックスの改善を続け、サーバーおよびワークステーションのセキュリティ、クラウドネイティブおよびコンテナのセキュリティ、高度な脅威インテリジェンス、高度なセキュリティ追跡など、複数のエンタープライズセキュリティ製品とサービスの研究開発に投資を続け、市場実装を拡大していくという。

<<:  「ゼロサムゲーム」から「プラスサムゲーム」へ、PaaS がクラウドコンピューティングの第 3 の波を引き起こす

>>:  分散トレースに Spring Cloud Sleuth と Zipkin を使用するためのガイド

推薦する

500 万人のユーザーを抱える WeChat サブスクリプション アカウントはどのように運営されるのでしょうか?

昨年8月、WeChatパブリックアカウントはサブスクリプションアカウントとサービスアカウントに分割さ...

マーケティング解釈!ダイソンの新製品はなぜWeChatモーメンツで人気があるのでしょうか?

月給5,000~50,000のこれらのプロジェクトはあなたの将来ですテキスト丨脳を燃やす広告(shu...

ウェブプロジェクト 512M XEN/50G ハードディスク/500G トラフィック/月額 6.92 ドル

web-project は 2004 年に設立されたイギリスの会社で、Web デザイン、開発、電子商...

簡単な議論: 外部リンクは本当にトラフィックをもたらすことができるのでしょうか?

SEO 業界がいつから内部リンクが王様で外部リンクが最も重要だと言い始めたのかはわかりません。多くの...

サイバーセキュリティの自動化を再考する

「仕事をうまくやり遂げたいなら、まずツールを磨かなければなりません。」自動化技術は、INTE.NET...

GoogleとBaiduがエンティティ検索に取り組んでいる:「直接回答を提供」

編集者注: この記事は @康国不说出的 からのものです。Weibo でフォローするにはクリックしてく...

マイクロソフトがカレンダーアプリSunriseを買収

アメリカのテクノロジーブログ「TechCrunch」の最近の報道によると、事情に詳しい情報筋が、マイ...

対外貿易企業はマーケティングとプロモーションにおいてどのような問題に直面しているのでしょうか?

2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っていますかつてない...

業界初のクラウドネイティブAPI管理ソリューション、Traefik Hub

1. API 管理とは何ですか? API 管理とは、API の設計、開発、テスト、展開、管理、廃止な...

weloveservers-2g メモリ/80g ハードディスク/1500 トラフィック/月額 5 ドル

11月に設立されたweloveserversは、主に低価格のVPSを提供しており、頻繁にプロモーショ...

中国サイバースペース管理局:ネット上の噂に関係する42のウェブサイトが法律に従って閉鎖された

北京4月12日(記者 劉洋)中国サイバースペース管理局ネットワークニュース調整局局長の劉正栄氏と工業...

Amazon EC2 の紹介

Amazon Elastic Compute Cloud (Amazon EC2) は、クラウド内で...

エッジ コンピューティングとクラウド コンピューティング: 企業の接続デバイスにはどちらのソリューションが適していますか?

企業が何を構築しているかに関係なく、ある時点で、デバイスは重要な計算をクラウドで実行するべきか、それ...

StreamNative、Prosperity7 VenturesとHuatai Innovationが主導する2,300万ドルのシリーズA資金調達ラウンドを発表

北京時間10月12日、クラウドネイティブのバッチストリーム融合データプラットフォームStreamNa...

鉄道関係者によると、12306のチケット購入サイトが輸送能力不足でダウンしたという。

しばらく平穏が続いた後、鉄道省は再び論争の中心となった。今回、事態が最高潮に達したのは、大型連休前に...