360安全大脑发现并协助修复VMware远程高危漏洞，再获官方致谢！

2019-12-06 20:07:08
我要分享


微信扫码分享

北京时间12月6日，VMware在官网上发布最新安全公告，公开致谢360 Vulcan Team发现并协助VMware成功修复OpenSLP远程执行代码漏洞（CVE-2019-5544）。而公告中，VMware将该漏洞定级为CVSS9.8分的紧急高危远程漏洞，目前VMware已发布安全补丁，建议用户尽快升级修复。

据悉，此次由360安全大脑报告并协助修复的远程执行代码漏洞（CVE-2019-5544），是在2019年11月举办的“天府杯”国际网络安全大赛上，由冠军团队360 Vulcan Team独立攻破。在比赛现场，360 Vulcan Team通过该漏洞利用攻击方案，实现了高质量的攻击流程，一举拿到了20万美金的单项最高奖金。而正是该至关重要的漏洞发现，让360 Vulcan Team又进一步提升了最终2019天府杯总冠含金量。

值得一提的是，该漏洞是由于ESXi和Horizon DaaS设备中使用的OpenSLP存在堆覆盖问题，攻击者利用此类漏洞可以突破虚拟机的权限隔离，获得宿主机的系统权限，导致用户数据的机密性，完整性和有效性失去保障。这意味着，在未经用户授权的情况下，攻击者可对用户信息进行任意处理。而此类漏洞可以在其它虚拟机和宿主机上实现任意代码执行，并可能用于传播网络蠕虫。

360 Vulcan Team在“天府杯”中使用的攻击代码已经第一时间提交给VMware厂商，以协助VMware针对比赛中被攻破的产品尽快发布补丁修复安全漏洞。但值得注意的一点是，VMware根据该漏洞的严重性及影响范围，给出CVSS 9.8分的评分，将其定义为紧急高危漏洞。

要知道，CVSS全称Common Vulnerability Scoring System，是由美国国家漏洞库（NVD）发布的“通用漏洞评分系统”，是一个“行业公开标准，并被用来评测漏洞的严重程度，及帮助确定所需反应的紧急度和重要度”的漏洞评分体系。

在此之前，VMware官网公开的大部分漏洞评级都仅在CVSS 5.0-8.7范围区间，由此可见，此次360 Vulcan Team所发现的远程执行代码漏洞（CVE-2019-5544）被罕见地评为CVSS9.8分，足以说明该漏洞对应的威胁性和紧急性之高。

说起高危漏洞，2019年360安全团队在漏洞挖掘方面可谓战绩赫赫。本年度，360安全团队分别发现苹果远程越狱系列漏洞，谷歌的内核通杀“水滴”漏洞，以及刚公开不久的谷歌“梯云纵”漏洞，成功包揽苹果、谷歌、微软漏洞挖掘史上最高奖金。

对于360安全大脑而言，不仅连续包揽了以上三巨头的最高漏洞奖励，并已累计发现包括苹果、Google、微软、华为、高通、VMWare等在内的全球主流厂商CVE漏洞超过2000个（也就是说平均每天都会挖掘1.3个漏洞），成为全球获得致谢次数最多的安全厂商，刷新世界纪录，向世界展现了来自中国的安全力量。

众所周知，在大安全时代，“漏洞”关乎着企业自身的安全、品牌的声誉以及千千万万用户的切身利益，一旦漏洞被不法分子抢先发现并利用，其后果不堪设想。而360安全大脑，凭借着其过硬的实力，全年无休地守护着网络安全，与恶势力赛跑，帮助各大企业厂商不断完善系统安全，努力为广大用户提供一个安全的网络环境。

VMware官网致谢360安全大脑：

https://www.vmware.com/security/advisories/VMSA-2019-0022.html

热点排行

360安全大脑发现并协助修复VMware远程高危漏洞，再获官方致谢！

热点排行

关注我们