Hackers weten VMware-hosts te infecteren tijdens wedstrijd

Beveiligingsonderzoekers hebben tijdens een wedstrijd een lek gevonden in VMware waarmee het mogelijk was om uit de virtuele machine te ontsnappen. Daarmee wonnen de hackers 180.000 euro. Ook werden lekken gevonden in browsers, routers en Office.

Het lek werd specifiek gevonden in VMware ESXi. Dat is virtualisatiesoftware voor servers. Details over het lek zijn nog niet bekendgemaakt. De makers van VMware zeiden na de wedstrijd dat het bedrijf zo snel mogelijk met een patch komt. Tot die tijd blijft de aard van het lek geheim. Het lek werd ontdekt door Xiao Wei van de whitehat-hackergroep 360Vulcan, die meedeed aan de Tianfu Cup. Dat is een Chinese hackingwedstrijd die lijkt op bekende competities zoals Pwn2Own. Tijdens de tweedaagse wedstrijd in Chengdu konden hackers bekende soft- en hardware testen op kwetsbaarheden. De organisatoren bevestigen het lek op Twitter.

De kwetsbaarheid in VMware is de ernstigste die tijdens de competitie werd gevonden, maar niet de enige. In totaal werd voor 488.000 euro aan prijzengeld uitgedeeld. Hackers vonden tijdens de wedstrijden ook kwetsbaarheden in Edge die EdgeHTML aanvielen. Daarnaast zijn twee kwetsbaarheden in Chrome gevonden en één in Safari. Ook andere software had kwetsbaarheden, zoals de pdf-lezer van Adobe en Microsofts Office 365.

De wedstrijd ging niet alleen over software. Zo werd de D-Link DIR-878-router opengebroken door vier teams op dezelfde dag. Ook over die lekken zijn nog geen details openbaar gemaakt; eerst zullen er patches voor uitkomen.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 19-11-2019 11:3390

19-11-2019 • 11:33

90 Linkedin

Lees meer

Daan Keuper en Thijs Alkemade

Pwn2Own winnen met een Zoom-exploit

 14
VMware waarschuwt: schakel OpenSLP op ESXi-servers uit tegen ransomware Nieuws van 7 februari 2023
IOS 15 wordt twee keer gekraakt tijdens Chinese hackingcompetitie Nieuws van 18 oktober 2021
Nederlandse hackers vinden kwetsbaarheid in Zoom tijdens Pwn2Own-hackwedstrijd Nieuws van 7 april 2021
VMware maakt Fusion 12 Player voor macOS gratis voor persoonlijk gebruik Nieuws van 21 augustus 2020
Testversie Google Chrome kan in pdf's twee pagina's naast elkaar laten zien Nieuws van 12 maart 2020
VMware-klanten moeten extra licentie afnemen voor cpu's met meer dan 32 cores Nieuws van 4 februari 2020
Hackers kraken browser van Tesla-infotainmentsysteem bij Pwn2Own Nieuws van 25 maart 2019
Onderzoekers vinden twee zerodaylekken in Safari bij Pwn2Own Nieuws van 21 maart 2019
Dell: beursgang of combinatie met VMware behoort tot de mogelijkheden Nieuws van 2 februari 2018
Gerucht: Dell wordt overgenomen door eigen bedrijf VMware Nieuws van 30 januari 2018
Meer producten en artikelen
Beveiliging en antivirus VMWare Hack Hackers

Reacties (90)

-Moderatie-faq
90
82
46
1
0
14
Wijzig sortering
dbzokphp
19 november 2019 11:36
180.000 euro klinkt vrij laag voor zo'n kritische lek. Helemaal vergeleken met het totale prijzengeld van 488 miljoen euro. (is dus 488.000 euro).
Lijkt mij dat spionagebedrijven hier veel meer geld voor zullen neerleggen. Volgens mij moet je zulke hackers lonen met veel meer geld, zodat het niet in de verkeerde handen terecht komt.

[Reactie gewijzigd door dbzokphp op 19 november 2019 11:43]

Cergorach
@dbzokphp19 november 2019 12:41
180.000 euro klinkt vrij laag voor zo'n kritische lek.
$200.000 voor een dagje werk met z'n 5en is natuurlijk een leuke binnenkomer. Wellicht dat je meer kan krijgen via minder nette kanalen, maar de kans dat je dan 'wat naars overkomt' wordt dan opeens een heel stuk groter...

Daarnaast is dit 1 lek, deze jongens zitten de rest van het jaar natuurlijk ook niet stil en dit is niet het enige prijzengeld wat ze hebben binnengesleept over de jaren. Dergelijke bedragen geeft hun een hoop vrijheid om te doen wat ze willen.

Vergeet ook niet dat als je tientallen miljoenen zou kunnen verdienen met zo een wedstrijd, dan gaan ook andere elementen zich ermee bemoeien die het leven niet makkelijker maken van een 'whitehat' hacker...
kristofv
@Cergorach19 november 2019 13:16
[...]
Vergeet ook niet dat als je tientallen miljoenen zou kunnen verdienen met zo een wedstrijd, dan gaan ook andere elementen zich ermee bemoeien die het leven niet makkelijker maken van een 'whitehat' hacker...
Of dan stoppen ze er gewoon mee en gaan rentenieren :) Want laten we eerlijk zijn, ik twijfel niet aan hun nobele bedoelingen maar er zijn leukere zaken in het leven dan hacken.
Mic2000
@dbzokphp19 november 2019 11:41
Ik lees totale prijzengeld 545.000 dollar: https://twitter.com/TianfuCup/status/1195955592453472256

[Reactie gewijzigd door Mic2000 op 19 november 2019 11:44]

estej
@Mic200019 november 2019 11:44
Zoals ik het op die tweet zie is dat het totale prijzen geld uitgekeerd aan alle winnaars. 180.000 euro is het bedrag dat is uitgekeerd aan de vinders van de VMware exploit
sebastienbo
@estej19 november 2019 12:37
Met 180.000 euro kan je een medior security consultant (30.000/maand) 6 maand huren.
Navi
@sebastienbo19 november 2019 12:56
175 per uur voor een medior? Pittig tariefje.
kristofv
@Navi19 november 2019 13:10
6*24*8=1152

180.000 /1152 = 156.25

Nog steeds pittig voor een medium profiel daar niet van, voor 115 per uur (denk ik) kan je mij al hebben en ik ben een senior sysadmin.
Navi
@kristofv19 november 2019 13:16
Een 'normale' fulltime werkmaand is ongeveer 173,3 uur. (40 uur per week)
https://www.snelverder.nl...eel-werkuur-in-een-maand/

Dus 30.000 / 173,3 = 173,11 per uur.

[Reactie gewijzigd door Navi op 19 november 2019 13:19]

kristofv
@Navi19 november 2019 13:19
Voor zover ik weet factureren wij altijd consultants aan 8 uur/dag en is dat vrij standaard in België, vandaar de 8.

Maar idd technisch is het 7u38 of zo, daar had je dus gelijk in.
Navi
@kristofv19 november 2019 13:24
Nee het is gewoon 8 uur per dag, alleen je had het aantal werkdagen in de maand niet juist, dat zijn er geen 24 :) (gemiddeld genomen)

[Reactie gewijzigd door Navi op 19 november 2019 13:25]

FreshMaker
@Navi19 november 2019 13:11
"security"-> meerprijs
"consultant" -> meerprijs
Naam en faam uitlenende bedrijf, ook meerprijs

Alles moet betaald worden, en als jij het niet betaald, doet de volgende het wel ;)
En ook dát is een reden om iemand in te huren, zodat 'de andere' die kennis niet kan opdoen
RJG-223
@sebastienbo19 november 2019 12:44
Met 180.000 euro kan je een medior security consultant (30.000/maand) 6 maand huren.
Maar de kans dat die dat lek in die tijd vindt is waarschijnlijk ongeveer nul.
metieske
@Mic200019 november 2019 11:54
545.000 in totaal inderdaad, waarvan 200.000 dollar voor het ESXi lek
OxWax
@Mic200019 november 2019 12:19
Dat heeft Tweakers geregeld paar weken geleden , je kan dat ook afzetten dacht ik ...wel leuk zo : Space Invaders rulen namelijk 8-)
TheBoef
@Mic200019 november 2019 12:19
Dat zijn de nieuwe identicons.

plan: Werkervaring, opleidingen en Identicons - Development-iteratie #167
Indentical
@Mic200019 november 2019 12:20
Random Pixel character. Als het goed is heb ik er ook 1! :D

Edit: JA! Ik heb er ook 1! Scheelt mi jweer zoeken naar een leuke afbeelding om als profielfoto te gebruiken.

[Reactie gewijzigd door Indentical op 19 november 2019 12:21]

FuriousKiwi
@Mic200019 november 2019 12:19
of is de default profile pic nu een random pixel character?
Precies dat :)
Lavendou
@FuriousKiwi19 november 2019 12:29
Reageer even uit benieuwdheid naar mijn pixel :)

edit: Blauw blok. Prima :9

[Reactie gewijzigd door Lavendou op 19 november 2019 12:30]

NightFox89
@dbzokphp19 november 2019 11:39
En in de praktijk zijn het kennelijk voldoende knaken anders hadden ze het dus wel aan criminelen verkocht ;)
dbzokphp
@NightFox8919 november 2019 11:43
In dit geval wel. Maar indien nu een andere hacker een lek vind, weet hij wat voor vergoeding er ongeveer door het bedrijf zal worden gegeven. Dan kan de hacker overwegen om het wel aan criminelen/spionagebedrijven te verkopen.
Vallaquenta
@dbzokphp19 november 2019 12:22
Maar het risico van het verkopen van zulke dingen is natuurlijk wel dat je banden aangaat met de criminaliteit. Ikzelf zou dat als een gigantisch risico zien, vooral de georganiseerde cybermisdaad is een 'rabbithole' waar ik niet gauw in zou duiken.
Dasprive
@Vallaquenta19 november 2019 12:55
Dat is niet per definitie crimineel hoor, er zijn bedrijven genoeg (denk Zerodium, Cellerite, Hacking Team, NSO etc.) die legale "hacksoftware" maken en die ook betalen voor zulke kwetsbaarheden.

Even los van alle discussies over de ethiek achter zulk bedrijven, die betalen in ieder geval veel meer dan 180k.

Hier linkje naar bv Zerodium pricing voor exploits, ook desktop/server exploits gaan voor een fijne 1.000.000,- over de toonbank: https://zerodium.com/program.html

Edit naar aanleiding van post hieronder door @Vallaquenta : VMware escapes zijn inderdaad "maar" 200k ook bij Zerodium. Dus marktconform toch.

[Reactie gewijzigd door Dasprive op 19 november 2019 13:12]

Vallaquenta
@Dasprive19 november 2019 13:01
Maar dat zijn natuurlijk wel prijzen voor de OS zelf; hier gaat het over VMWare, en als ik die opzoek op Zerodium is er voor VMWare ESXI VME een bounty van 200.000, dan verdienden de hackers hier toch een klein beetje meer :9

Ik ben echter niet thuis in de hele hackingscene; maar volgens mij zijn alle white bedrijven achter de schermen gewoon gefiancierd door dezelfde bedrijven die deze hackercon's ondersteunen, dus het geld komt (denk ik) uit hetzelfde potje. Dit is namelijk allemaal legaal en boven de tafel, waar de reacties in deze thread over gaan tot dusver is denk ik het black vs white hackers en hoe de verschillen hier zijn.
FreshMaker
@Vallaquenta19 november 2019 13:07
Vergeet ook het financiele deel qua witwassen niet

Je kan als hacker natuurlijk prima een vette payday maken, door je hack 'onder de toonbank' te verkopen aan de hoogste (darknet) dealer
Maar die knaken moet je uiteindelijk wel weer 'legaal' zien te krijgen.

Het is in de echte wereld vaak nét iets lastiger om je (groot) geld wit te wassen, zonder randverschijnselen
Frubelaar
@FreshMaker19 november 2019 13:23
2 ton is niet zo moeilijk hoor. Dat is het geld dat je uitgeeft in de horeca, op vakantie, fysieke winkels, etc
Terriongaming
@Frubelaar19 november 2019 13:32
Jij geeft 2 ton uit op een vakantie? Doe maar duur.
mjz2cool
@Frubelaar19 november 2019 21:08
En dan over een tijd van een aantal jaren? Dan heb je er nog niet zoveel aan, tegen de tijd dat je het dan allemaal wit hebt ben je het ook al kwijt.
Tozz
@FreshMaker19 november 2019 21:49
Dat hoef je helemaal niet wit te wassen. In fiscale zin doe je niets illegaals wanneer jij informatie (de kwetsbaarheid) verkoopt aan de hoogste bieder. Als je daar gewoon belasting over betaald is er niets aan de hand.

Stel dat ik cocaine verkoop.. Als jij van mij een kilotje koopt en betaald daar een miljoen voor, en ik neem dat gewoon op in de boeken 'Kilo coke verkocht aan FreshMaker voor 1 miljoen, factuur 12345'. Dan is daar fiscaal gezien niets mis mee. Ik betaal daar vervolgens netjes belasting over, klaar. Hoef ik niets wit te wassen. Fiscaal kan mij men daar niet op pakken.

Het enige probleem in deze situatie is de vraag of het strafrechtelijk mag. Die cocaine is vrij duidelijk natuurlijk. Of je een veiligheidsprobleem in een stuk software mag verkopen weet ik zo even niet. Ik zie in ieder geval zo geen reden waarom je dergelijke informatie alleen aan VMWare zelf zou mogen verkopen.
Flaat
@Dasprive19 november 2019 13:04
Alle VM escape methodes gaan daar ook voor max 200K over de toonbank, dus lijkt me marktcomforme prijs, zo ver zoiets bestaat in de hacker wereld 8)7
telenut
@dbzokphp19 november 2019 12:32
Hoeveel tijd heeft hij er in gestopt, en wat brengt het hem op? Zou jij ook niet de 180k nemen dan?
Met 180k legaal kan lang en goed genieten. En erna nog bij verdienen. Met 500k illegaal... moet je al vluchten naar het buitenland om er iets mee aan te vangen.
Donstil
@telenut19 november 2019 13:05
Nou "Lang en goed genieten"?
Trek de belasting eraf, deel het met je hacking team en het is zo "Lang en goed genieten" al niet meer.
Cergorach
@telenut19 november 2019 12:44
Een half miljoen 'illegaal' zal je eerst wit moeten wassen, dat kost geld en tijd (tijd=geld), dus een hoop geld. ;-)

In de tussentijd zijn er criminelen die mogelijk weten dat je een half miljoen ergens heb liggen...

@telenut Als jij opeens een half miljoen aan bitcoin heb zal je dat moeten kunnen verklaren, zo werkt dat in NL in ieder geval. De belastingdienst zal dan ook vast wallets met grote bedragen in de gaten houden en deze koppelen aan transacties via crypto beurzen. Er zijn wel methodes om daar omheen te komen, maar die kosten geld en tijd, dus veel geld.

[Reactie gewijzigd door Cergorach op 19 november 2019 13:15]

FreshMaker
@telenut19 november 2019 13:09
Wat 'denk' jij dan te weten ?

Want horeca is iets meer dan een pannetje op het vuur, en een biefstukje op je bordje.

Dat sommige bedrijven meer vragen voor die biefstuk is een stukje aandacht, kennis maar ook aanzien.
( en ja, er zitten bedrijven tussen die het niet waar maken, of zelfs verdienen ... maar die vallen vanzelf door de mand )
84hannes
@NightFox8919 november 2019 11:43
Niet iedereen is rot van binnen.
bbob
@NightFox8919 november 2019 11:45
De vraag is hoeveel white hackers zijn er en hoeveel black. In het black gedeelte gaan natuurlijk nog grotere bedragen om, overheden zitten er in.

Als ik dan dit soort berichten lees over kritische lekken dan kun je je de vraag stellen of dit lek misschien al langer gebruikt werd en hoe veilig is alles.
Gurd
@NightFox8919 november 2019 22:57
Waarom aan criminelen verkopen als de Chinese staats hackers die kwetsbaarheden goed kunnen gebruiken? ;)
AuteurTijs Hofmans
@dbzokphp19 november 2019 11:42
Die 488 miljoen was een foutje, dat was wel erg veel :) Moest 488.000 zijn, heb ik aangepast!
HenkEisjedies
@dbzokphp19 november 2019 11:43
Liever 180.000 via een wedstrijd, dan de rest van je leven over je schouder moeten kijken.
InsanelyHack
@dbzokphp19 november 2019 12:04
Ik denk dat meer geld persé de oplossing is. Een goed betaalde deeltijdbaan is wellicht veel interessanter. De denkwijze van deze personen, die zo'n hack vinden, is cruciaal om in je eigen bedrijf te kunnen consulteren. Ik zeg bewust deeltijdbaan omdat deze mensen met deze specialiteiten hun creativiteit voortdurend moeten ontwikkelen. Dat gaat weer minder goed als je een voltijdbaan hebt denk ik.

[Reactie gewijzigd door InsanelyHack op 19 november 2019 12:06]

Biirra
@dbzokphp19 november 2019 13:52
White hat hackers doen dit meer voor hun hobby. Het prijzengeld had net zo goed een beker kunnen zijn + de credits van het vinden van de lek. Zoiets staat immers zeer goed op je cv.

Spionage bedrijven zullen hier misschien goed voor betalen maar dit valt volgens mij onder landverraad (of iets dergelijks).

Ik vind 180.000 euro al een zeer hoog bedrag. Zelf zou ik het fijner vinden dat ze dit geld stoppen in bug fixes. Het is immers maar een wedstrijd en geen betaald opdracht.
markwiering
@dbzokphp19 november 2019 13:57
180.000 euro !!! Weet jij niet hoeveel dat is? Van dat geld kun jij een huis kopen! :o
Ik zou echt een gat in de lucht springen als ik zo een monsterlijk bedrag zou krijgen voor het vinden van een beveiligingslek in een programma.

[Reactie gewijzigd door markwiering op 19 november 2019 13:57]

Tozz
@markwiering19 november 2019 21:51
Voor 180k koop je weinig huis meer tegenwoordig :)
MPC60
@Tozz20 november 2019 01:56
Tozz! Hallo!

Jaja off topic.
D0phoofd
@dbzokphp19 november 2019 14:19
Nou, dat is dus het probleem met ‘lekken’. Je weet niet of het er is, en of dat iemand anders ‘m al eerder heeft gevonden.

Dit soort competities en programma’s zoals HackerOne zijn juist bedoeld om het boven water te krijgen dmv een geldsom.
Q
@dbzokphp19 november 2019 12:40
Ik denk dat zo'n exploit een veelvoud waard zou zijn op 'de markt'. :)

Maar als je om je samenleving geeft dan ga je deze zooi niet op de markt gooien zodat straks Rusland of China de infrastructuur van je land omzeep helpt.
Koffiebarbaar
@dbzokphp19 november 2019 13:34
Lijkt mij dat spionagebedrijven hier veel meer geld voor zullen neerleggen. Volgens mij moet je zulke hackers lonen met veel meer geld, zodat het niet in de verkeerde handen terecht komt.
Ik zou persoonlijk niet zomaar mijn handen in "bloed gaan wassen" voor wat geld. (los van de overige potentiele implicaties van handelen met clandestiene partijen, legaal of anderzijds)
Je kan je ook afvragen waar het verhogen van die beloning dan ook ophoud.

Ik ken de praktijk niet van dat bug hunten maar als je er na een weekje maandje of misschien zelfs jaartje werk zo'n dikke bug uit trekt waar je zo'n bedrag mee harkt ben je voorlopig weer gewoon klaar volgens mij. En die gasten hebben ook vast nog wel andere pruttelende pannetjes op staan.

[Reactie gewijzigd door Koffiebarbaar op 19 november 2019 13:40]

Aerophobia1
@dbzokphp19 november 2019 14:30
Als je als hacker in de spin van de criminelen terecht komt, laten ze je niet meer gaan.
Dan eindig je dood in de goot of in de gevangenis.
Dan is het een stuk veiliger je geld op deze manier te vergaren.
StefanPetter
19 november 2019 11:41
Als je ziet hoeveel lekken er gevonden worden tijdens zo'n wedstrijd, dan zou je toch denken dat er in het dagelijks leven veel meer kwetsbaarheden gevonden worden die mogelijk aan de media aandacht ontsnappen.

In hoeverre zullen dergelijke lekken gemeld worden in een niet-competitie omgeving waarij het mogelijk lastiger is om er op een legale manier geld mee te verdienen. Interessant wel.
Glodenox
@StefanPetter19 november 2019 11:56
Je moet er wel rekening mee houden dat men die lekken altijd al op voorhand gevonden heeft en tijdens de wedstrijd alleen maar aantoont. Vaak heeft men weken tot maanden gewerkt vooraleer men die kwetsbaarheden gevonden heeft.
Byron010
@Glodenox19 november 2019 13:14
Heb je hier een bron of iets voor? Weten ze dan bijv van te voren al wat voor apparatuur of software er gebruikt wordt voor de wedstrijd, of mogen ze zelf kiezen en gewoon zo veel mogelijk lekken presenteren?
Glodenox
@Byron01019 november 2019 13:51
Als je kijkt naar het Twitter-account van de organisatie dan zie je dat de wedstrijd om 9u begon en dan zie je ook dat men vrijwel direct erna begint met de exploits te tonen.

En op de website kan je de regels terugvinden. Deze zijn in het Chinees geschreven, maar nog zonder te scrollen zie je de lijst van "targets" al staan. Er is dus op voorhand vastgelegd welke producten men mag gaan hacken en demonstreren, met een uitzondering voor het kraken van een industriële setting.

EDIT: Google Translate vertaling van een deel van de regels:
Virtualization software includes: VMware Workstation (VMware ESXi), Linux KVM (qemu), Virtual Box
Operating system software includes: Windows server, Linux
Browser software includes: Microsoft Edge browser, Google Chrome, Apple Safari browser
Office software includes: MS Office series software, WPS Office series software, Adobe PDF Reader software
Mobile smart terminals include: iPhone, Xiaomi, OPPO and other latest flagship phones
The IOT terminal includes: a smart router, a smart speaker, and a charging post.
System cracking game. The system cracking game is an open topic. The organizing committee sets some industrial scene control equipment and topics on the spot (not announced in advance), and the participating teams can crack at the scene as appropriate.

[Reactie gewijzigd door Glodenox op 19 november 2019 13:55]

Byron010
@Glodenox19 november 2019 14:26
Thanks! vind het toch wel interessant dit en ook zeker een mooi initiatief.

Ook wel indrukwekkend om te zien, ondanks dat de producten van te voren bekend zijn, laat bijv '360vulcan ' wel zien dat ze er heel goed in zijn.

360vulcan:
Edge exploit (Remote code execution & sandbox escape): $55.000
Office365 control (binnen 16 seconden): $40.000
Ubuntu + gemu-kvm (Virtual Machine escape & partial control of the host binnen 24 seconden): $80.000
Adobe PDF Reader (Remote code execution): $7,500
VMWare EXSi (Virtual machine escape & full control of the host): $200.000

Totaal: $377.500
(Totaal volgens de organisatie: $382.500)

Dan wordt het nog verdeeld onder de team leden, maar toch een mooi bedrag naast het feit dat je alle gebruikers en fabrikanten van die software helpt.
blorf
@StefanPetter19 november 2019 12:00
Ik denk wel dat het 'live' bij elkaar zitten en volledig doelgericht zijn op deze manier een groot voordeel is. Een online groepering bij elkaar trommelen om hetzelfde voor elkaar te krijgen is een stuk moeilijker. Een dergelijke groep met kwade bedoelingen moet veel tijd besteden aan alleen maar buiten beeld blijven.

Ik ben wel benieuwd hoe ze die VMware breakout hebben gedaan. :Y)

[Reactie gewijzigd door blorf op 19 november 2019 12:03]

michielRB
@StefanPetter19 november 2019 12:15
Ik ben dan ook benieuwd welke andere pakketten ook zijn bekeken en of daar ook lekken in gevonden zijn. Met name pakketten die ik zelf dagelijks gebruik: proxmox, cockpit, libreoffice, CentOS....
idiotoflinux
@michielRB19 november 2019 17:37
in een andere reactie werd wel iets gezegd over KVM (en dus Proxmox
Pinkys Brain
19 november 2019 12:17
Een gokje, het is een buffer overflow in een virtuele driver geschreven in C(++).
Retonator
@Pinkys Brain19 november 2019 13:14
"standaard" stack based buffer overflow's zijn sinds DEP en ASLR al niet zo heel erg gangbaar meer. Als ik een gok mag doen zeg ik use-after free.
beerse
@Pinkys Brain20 november 2019 15:25
Tussen de drivers vermoedt ik eerst in de 'real-world' drivers zoals de E1000 nic en dergelijke scsi-drivers. Dat is meer code (en ook niet allemaal van 'vmware') dus meer mogelijkheid tot gaten dan de speciale virtualisatie-devices zoals de vmx-net nic.
sjimmie
19 november 2019 13:14
In de contest wordt niet over ESXi gesproken maar over VMware Workstation? Nogal een verschil moet ik zeggen...
Chocoball
@sjimmie19 november 2019 15:19
Het gaat om een integer overflow kwetsbaarheid in VMware Workstation (Windows/ Linus) en VMware Fusion (Apple Macintosh). vSphere ESXi wordt volgens VMware niet geraakt.

Een blog van VMware over de wedstrijd kun je hier teruglezen
https://blogs.vmware.com/...anfu-cup-pwn-contest.html

De kwetsbaarheid staat in deze advisory beschreven
https://www.vmware.com/se...ories/VMSA-2018-0030.html

Edit: correctie was een link van 2018. Zie hieronder verdere details.

[Reactie gewijzigd door Chocoball op 19 november 2019 16:50]

TechnoNotice
@Chocoball19 november 2019 15:36
These links are for LAST year...

This years link is
https://blogs.vmware.com/...anfu-cup-pwn-contest.html

[Reactie gewijzigd door TechnoNotice op 19 november 2019 15:37]

Tetraquark
@Chocoball19 november 2019 16:26
"vSphere ESXi wordt volgens VMware niet geraakt."
Update November 17 2019
The Tianfu Cup PWN Contest has wrapped up after Day 2. On Day 2 of the contest the 360Vulcan team demonstrated an issue on VMware vSphere ESXi. We are currently investigating the issue after having received the details. We are actively working on its remediation and we plan on publishing a VMware Security Advisory to provide information on updates for affected products.

[Reactie gewijzigd door Tetraquark op 19 november 2019 16:26]

beerse
@sjimmie20 november 2019 15:36
Sinds een aantal versies kan vmware-workstation (pro) gebruikt worden als gebruikers (console) toegang naar esx-servers.

Aan de andere kant: De gasten die op ESXi draaien, zouden ook zo, zonder aanpassingen, onder VMware Workstation draaien (mits het allemaal past en geen exotische ESXi zaken zijn gebruikt).
gamezfreak
19 november 2019 13:17
Ik ben benieuwd of de lek ook in VMware Workstation te vinden zal zijn. Nu is er wel een grote verschil tussen ESXI en Workstation, maar de vraag blijft wel hoe kwetsbaar Workstation is.

Ik gebruik zelf Workstation voor verschillende doeleinden; van het installeren van testversies, tot aan het voorbereiden voor certificeringen (bijv. installeren en configureren van core 2016).

Vraag blijft wel in hoeverre de ESXI code met Workstation overeenkomt. Je wilt immers niet dat er een exploit vanuit je virtuele omgeving naar je host (Windows omgeving), of fysiek nestelt in de geheugen en/of ROM, waardoor de exploit je gehele infrastructuur om zeep kan helpen.

Als VMware de exploit niet bekend wil maken, dan wil dat wel zeggen dat de hack zeer grote gevolgen kan hebben als het bekend wordt gemaakt. Het is maar nu dus afwachten wanneer het wordt gepatched en wanneer ze met een uitleg gaan komen.
EXCalibur_EeK
@gamezfreak19 november 2019 14:55
Het lek is juist gevonden in de Workstation versie.

https://pbs.twimg.com/media/EJjjPYdVUAACZ3b.jpg

De vraag is of het ook in ESXi zit.
Tetraquark
@EXCalibur_EeK19 november 2019 16:19
herstel

[Reactie gewijzigd door Tetraquark op 19 november 2019 16:21]

beerse
@gamezfreak20 november 2019 15:41
Het verschil tussen VMWare Workstation en ESXi is verrassend klein: De gasten zijn in principe compatible. Alleen exotische zaken zoals direct-hardware aansturen zijn vanuit de gast gezien niet altijd compatible. Het is dat ESXi wat meer management mogelijkheden heeft maar voor de gast maakt dat niet uit. Aan de andere kant is ESXi juist veel meer beperkt dan VMware Workstation. Probeer maar eens op de console van de ESXi te werken...
ymmv
19 november 2019 11:38
"In totaal werd voor 488 miljoen euro aan prijzengeld uitgedeeld"

Een half miljard euro? Dat kan nooit kloppen.
AuteurTijs Hofmans
@ymmv19 november 2019 11:41
Nee dat is vrij veel inderdaad, foutje. Thanks!
Perkouw
@ymmv19 november 2019 11:43
https://twitter.com/TianfuCup/status/1195955592453472256
Some number reviews for the two-day #TFC 2019 PWN contest:
17 teams delivered 28 on-site demonstrations with 20 successful and 8 failed
11 teams have gained bonus
8 targets been taken down
Total bounty of $545,000 awarded!

Thanks everyone for participating!

[Reactie gewijzigd door Perkouw op 19 november 2019 11:43]

Kek
@ymmv19 november 2019 11:41
denk eerder dat het 488K moet zijn, dus bijna een half miljoen (nog steeds veel geld)
Anoniem: 308166
@ymmv19 november 2019 11:43
Vooral aangezien het ernstigste lek dus blijkbaar 180k waard was, zelfs als elk lek 180k kreeg zijn dat 2700 lekken die gevonden werden in 2 dagen. Lijkt me sterk.
Rabliep
@ymmv19 november 2019 11:44
Ja je hebt gelijk. Zie https://twitter.com/TianfuCup/status/1195955592453472256

"Total bounty of $545,000 awarded!"
Dit moest dus 488 duizend euro aan prijzengeld zijn, niet 488 miljoen euro.

EDIT: Oeps, @Perkouw was me voor.

[Reactie gewijzigd door Rabliep op 19 november 2019 11:45]

Anoniem: 120539
@ymmv19 november 2019 11:45
Het lijkt me ook wat veel, zeker in relatie tot het totale prijzengeld vorig jaar:
According to the organizers, in 2018 hackers earned $1,024,000 for a total of 30 vulnerabilities.
Edit: volgens Twitter:
Some number reviews for the two-day #TFC 2019 PWN contest:
17 teams delivered 28 on-site demonstrations with 20 successful and 8 failed
11 teams have gained bonus
8 targets been taken down
Total bounty of $545,000 awarded!

[Reactie gewijzigd door Anoniem: 120539 op 19 november 2019 11:47]

metieske
@ymmv19 november 2019 11:53
als ik dit artikel erbij pak: https://www.zdnet.com/art...-chinese-hacking-contest/
Dan lijkt het inderdaad aannemelijker dat het gaat om 488.000 euro
Privateer
19 november 2019 11:42
Quote na een snelle google:

"The Tianfu Cup 2019 International Cyber ​​Security Competition is ended and white hat hackers have earned $545,000 for working zero-day exploits."

Dat zou dan ongeveer 488 000 € zijn...

[Reactie gewijzigd door Privateer op 19 november 2019 11:42]

donvitofcg
19 november 2019 11:42
Some number reviews for the two-day #TFC 2019 PWN contest:
17 teams delivered 28 on-site demonstrations with 20 successful and 8 failed
11 teams have gained bonus
8 targets been taken down
Total bounty of $545,000 awarded

https://twitter.com/TianfuCup/status/1195955592453472256
Manke
19 november 2019 12:15
tegenwoordig is hacken meer 'gewoon, omdat het kan', omdat de kennis makkelijk aan te leren is vandaag de dag. Vroeger heette het nog inbreken, en daar heeft het ook alles van weg.
Navi
@Manke19 november 2019 12:59
Een goede hack neerzetten is alles behalve makkelijk en vereist vaak zeer veel kennis van de werking van het systeem wat je probeert te hacken.

Een SQL inject exploitje toepassen is hedendaags niet heel spannend meer, maar vind dit wel van een ander niveau.
Manke
@Navi19 november 2019 13:49
De kennis is makkelijker aan te leren dan vroeger, youtube bant ook hacking video's.
Aerophobia1
@markwiering19 november 2019 14:38
Dat is nog steeds inbreken en vernietiging van anders mans eigendommen.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee