10月24日,以“人攻智能���,洞見未來”為主題的GeekPwn2018國際安全極客大賽開幕�,全球頂尖黑客團隊再次集結上海�����,預演智能生活以及人工智能領域潛在的安全問題���。在諸多挑戰(zhàn)項目中����,長亭科技安全研究員張焱宇成功挑戰(zhàn)具有世界級難度的“虛擬機逃逸”項目�����,備受業(yè)界矚目���。據(jù)了解����,這是全球范圍內首次針對VMware ESXi虛擬機逃逸的公開演示。
在本次極棒上海站的舞臺上���,長亭科技安全研究員張焱宇利用VMware虛擬化平臺的3個漏洞��,從一臺Linux虛擬機內部進行攻擊���,僅用9分鐘便成功獲取ESXi宿主機系統(tǒng)的最高權限并進行任意控制,展示了私有云系統(tǒng)所存在的安全問題�����。此外����,長亭科技安全研究員鄭吉宏利用內存破壞,遠程獲取某主流NAS系統(tǒng)最高權限����,雙雙挑戰(zhàn)成功。長亭科技表示�����,兩個項目的漏洞細節(jié)將會通過GeekPwn報告給廠商,并等待廠商進行修復����。
該項目的評委之一、騰訊安全玄武實驗室負責人于旸對項目難度水準表示了高度認可����。因為本身虛擬機技術設計的目標就是把你隔在里面���,就像一個牢籠����,牢籠的目的是隔離��,而我們要逃逸出來��。對于這種比賽���,真正攻擊的時間是非常短的���,但是從發(fā)現(xiàn)漏洞到進行分析到攻破是非常困難的。
“云時代”的虛擬機安全被提升到至關重要的位置����。虛擬機逃逸是指從虛擬機內部發(fā)起攻擊�,利用虛擬化產(chǎn)品中的漏洞來獲取虛擬機外部宿主機的權限�。虛擬機逃逸攻擊已經(jīng)可以影響云上用戶的根本安全,成為不得不應對的嚴峻威脅�。自2016年Pwn2Own破解大賽增設虛擬機逃逸項目以來,國際知名虛擬化軟件VMware吸引了全球眾多安全研究人員的注意力��。作為世界范圍內為數(shù)不多的虛擬化漏洞的研究者��,長亭科技持續(xù)輸出研究成果��。2017年初�,長亭安全研究實驗室對VMware workstation進了研究并發(fā)現(xiàn)高危漏洞,并完整還原了整個虛擬機逃逸的利用��。此次長亭科技針對VMware ESXi虛擬機逃逸的公開演示在全球尚屬首次����。
據(jù)悉,長亭科技今年已是第三次參賽GeekPwn�����,歷屆出征戰(zhàn)績累累,為各大廠商發(fā)現(xiàn)了諸多高危漏洞并幫助其修復��。2016年成功破解索尼PS4����,獲得極棒上海站第一名、三周年貢獻獎;2016年一次破解10款路由器1款智能攝像頭����、獲得極棒澳門站中國第一。2015年破解數(shù)款智能攝像頭與路由器�����,獲得極棒中國站一等獎��。
作為國內網(wǎng)絡安全行業(yè)迅速崛起的新銳企業(yè)����,長亭科技高度關注網(wǎng)絡安全存在的漏洞和風險��,并專注于安全產(chǎn)品研發(fā)�����,以創(chuàng)新技術為企業(yè)多向提供簡單高效�、具有成熟商業(yè)化標準的安全解決方案�����。歷經(jīng)四年的發(fā)展�,長亭科技已形成“攻����、防、抓��、查”四維一體的應用安全防護塔防體系���,并獲得中國銀行�、招商銀行���、交通銀行���、安信證券、華為等大型金融與互聯(lián)網(wǎng)企業(yè)的認可�。
轉自:IT網(wǎng)
版權及免責聲明:凡本網(wǎng)所屬版權作品,轉載時須獲得授權并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”�����,違者本網(wǎng)將保留追究其相關法律責任的權力。凡轉載文章���,不代表本網(wǎng)觀點和立場�����。版權事宜請聯(lián)系:010-65363056���。
延伸閱讀
