毒液漏洞打开数百万的虚拟机来攻击

毒液漏洞

最近修补的安全漏洞是吓唬IT行业,它的名字是毒液,它被编码为 CVE-2015-3456。杰森·佩弗纳首次发现可怕的脆弱性,这是一名高级安全研究员 群体。网络专家报告说,毒液漏洞将使攻击者妥协 虚拟化平台,因此实际上是任何机器位于数据中心的网络中。

与过去几年中发现的许多其他漏洞完全一样,毒液缺陷也很长一段时间,专家解释说,当第一次将虚拟软盘控制器添加到QEMU CodeBase时,它会返回2004年。该漏洞影响Xen,KVM和Native Qemu虚拟机平台和设备。

脆弱性的影响可能是戏剧性的,可能是数百万的虚拟机容易受到毒液剥削的影响。

“毒液, CVE-2015-3456,是许多计算机虚拟化平台使用的虚拟软盘驱动器代码中的安全漏洞。此漏洞可能允许攻击者从受影响的虚拟机(VM)访客的范围中逃脱,并且可能获得对主机的代码执行访问。缺乏缓解,这个VM逃生可以打开对主机系统的访问以及在该主机上运行的所有其他VM,可能会使对主机的本地网络和相邻系统进行大量提升的访问权限。“ 解释 在博客帖子的geffner。

毒液是“虚拟环境被忽略的操作操作”的首字母缩写,如Geffner所解释的漏洞驻留在软盘控制器驱动程序中 QEMU.,这是一个被称为虚拟机管理程序的开源计算机仿真器,用于管理虚拟化平台。

根据安全咨询,攻击者可以通过将来自客户系统的命令和特殊制作的参数数据发送到易受攻击的软盘控制器来触发毒液漏洞,以使数据缓冲区溢出并在主机的管理程序进程的上下文中执行任意代码。缺陷是非常危险的,因为攻击者将攻击各种虚拟机,它是在默认配置上令可接知的,并且可以允许任意代码执行。

专家考虑过去影响虚拟化环境的其他漏洞的毒液,因为它存在于管理程序的代码库中,它独立于特定主机操作系统(Linux,Windows,Mac OS等)。

v1

由于专家解释的毒液,成千上万的组织以及数百万个最终用户处于危险之中,威胁演员可以崩溃管理程序获取目标机器的控制和运行的所有虚拟机。幸运的是,正如Crowdstrike所解释的那样,主要的安全公司已经看到毒液在野外剥削。

“除了敏感和个人身份信息(PII)之外,遗漏毒液漏洞的利用可能会发现对公司知识产权(IP)的访问,潜在地影响数千个组织以及数百万个依赖受影响的VMS分配共享的人计算资源,以及连接,存储,安全和隐私。“写了研究人员。

像亚马逊这样的云提供商迅速为毒液缺陷提供了修复,Crowdstrike的专家们与主体软件供应商合作,为漏洞开发补丁。

Crowdstrike报道,以下供应商已经发布了毒液缺陷的补丁和建议:

Crowdstrike确认它不会公开发布概念利用代码的证明。

 

毒液vs heastbleed.

许多来源在线匆匆赶上了对其他漏洞的毒液脆弱性,这说是“大于令人毛骨悚然的更大”。

从Veracode快速响应计划和触发事件通信的Jessica Lavery提供了在我看来,这是两个缺陷之间主要差异的最有趣分析之一。由于它影响的虚拟化平台和设备的惊人量,毒液肯定是一个潜在更大的影响。

但是,正如Jessica Lavery所突出的那样,由于以下原因,vanom的严重程度并不是如此惊人:

  • 野生漏洞在野外不可用,群体确认,可能最好说不知道。这意味着在最糟糕的情况下,有限数量的威胁演员可以拥有必要的知识来触发缺陷,这意味着由于毒液破坏而受到影响的机会非常低。
  • 毒液的发展剥削请求重大努力。
  • 毒液在大规模攻击中利用毒液缺陷的可能性非常低。专家考虑遗漏,如毒液,主要用于高度有针对性的攻击。
  • 毒液缺陷不会利用偏远攻击,这意味着,这意味着攻击者需要访问是有针对性的基础设施的方式。

 

毒液缺陷,在NSA阿森纳可能的武器

许多专家推测,像智力机构一样持久的攻击者具有必要的知识和资源来容易利用毒液缺陷。

安全公司勘误安全的首席执行官Rob Graham推测,攻击者触发漏洞的漏洞,窃取敏感数据和比特币将很容易。

毒液缺陷的开发可能对所有在虚拟私人服务器上有严重影响,这使用虚拟化来分离不同的客户’数据上的数据。格雷厄姆肯定会很快提供概念验证漏洞。

“这是一个虚拟机管理程序权限升级错误。要利用这个,你’D与VPS提供商的一个大量注册并获取Linux实例。你’D然后,可能会用利用此错误的自定义驱动程序替换Linux内核中的软盘驱动程序。当然,您可以root访问您自己的内核,您将升级到虚拟机管理程序的root访问权限。“专家说 博客帖子.

专家认为,像NSA这样的机构可以利用毒液来全世界的破解系统。

“一旦你获得了对主机的控制,你’D然后当然可以访问任何其他实例。这对NSA来说是一个完美的错误。比特币钱包,RSA私钥,论坛密码等搜索原始内存。一旦您’ve弹出主机,读取其他托管虚拟机的内存是无法察觉的。假设NSA有一个程序’D调试多年来看待此类东西,以100,000美元,他们可以在世界各地购买10美元的VPS实例,然后运行搜索。各种各样的伟大信息将脱离这样的努力 - 你’D可能会让你的钱从发现的比特币上回来。“

 

如何修复毒液漏洞?

专家敦促运行Xen,KVM或本机QEMU客户端的系统的管理员,以评估其系统并应用供应商提供的最新修补程序。根据供应商提供的说明操作验证最后一个Venom补丁的应用程序,重要的是。

 

参考

http://securityaffairs.co/wordpress/36787/hacking/venom-vulnerability.html

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3456

http://venom.crowdstrike.com/

http://blog.erratasec.com/2015/05/some-technical-notes-on-venom.html#.VVTkZvntmko

//www.veracode.com/blog/2015/05/venom-%E2%80%93-not-deadly-heartbleed

http://arstechnica.com/security/2015/05/venom-vm-bug-called-perfect-for-nsa-or-for-stealing-bitcoin-and-passwords/

http://blog.erratasec.com/2015/05/some-technical-notes-on-venom.html#.VVTkZvntmko

 

关于作者

皮埃鲁格Pierluigi Paganini是Bit4ID的首席信息安全官,Idistity Management的坚定领导者,ENISA成员(欧盟网络和信息安全机构) )威胁景观利益相关者集团,他也是安全福音师,安全分析师和自由作家。

主编“网络防御杂志“Pierluigi是一个网络安全专家,在该领域拥有超过20年的经验,他是伦敦欧共盟委员会的伦理黑客经验证明。对书面的热情和强烈的信念,即安全建立在共享和意识领导的Pierluigi找到安全博客“安全事务”最近为我们命名为最高国家安全资源。

皮尔卢里吉是一个成员“The Hacker News”团队和他是网络战区,ICTTF,Infosec岛,Infosec Institute,黑客新闻杂志和许多其他安全杂志等领域的一些主要出版物。

书籍“深暗的网络” and “数字虚拟货币和比特币“。

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请