您的位置:首页 >国内新闻 >

“毒液” 漏洞: 严重的计算机错误破坏了云安全

2022-01-23 15:57:01来源:

在几英里外的某些数据中心内,您的云托管网络的一部分可能与其他人在同一系统上运行。

通常,这不是问题。所谓的虚拟机-基本上是在其他计算机中模拟的计算机-防止同一台计算机上的网络相互影响。它们是管理大量计算资源的一种有效方法,同时大概可以使它们保持隔离和安全。

总部位于加利福尼亚州欧文的安全公司CrowdStrike的研究人员说,这并不是全部。事实证明,攻击者可以从某些虚拟机中爆发并操纵相邻运行的任何东西,从而打破了这些船只具有坚硬而快速的保护性边界的观念。

CrowdStrike的高级安全研究员杰森·格夫纳 (Jason Geffner) 发现了该漏洞,他说: “这破坏了隔离神话,即您可以让某些东西运行虚拟机,并将其与其他所有东西隔离开来。”“这个错误可以让你逃离一个容器,进入所有其他容器。”

周三上午,Geffner的团队宣布在通用虚拟机平台中发现了一个零日漏洞,这意味着以前未知的计算机错误。dubbedVenomfor “虚拟化环境被忽视的操作操作” 的错误影响了一种技术,在技术上被称为管理程序,该技术控制和协调系统上运行的虚拟机。

该漏洞特别影响了已有十年历史的免费开源管理程序,称为快速仿真器 (QEMU),该程序用于许多常见的虚拟化产品,包括Xen管理程序、KVM (或 “基于内核的虚拟机”) 、Oracle VM VirtualBox和本机QEMU客户端。另一方面,EMC旗下的VMWareand Microsoft Hyper-V的流行产品不受影响。

各种安全产品也依赖于易受攻击的技术来隔离和检查恶意软件-鉴于某些虚拟机可能 (如现在所示) 泄漏,这是一个潜在的危险命题。

格夫纳说: “即使你不直接使用这些服务,存储你个人数据的账户也很有可能运行这些产品。”实际上,CrowdStrike估计该错误可能使成千上万的组织和数百万用户处于危险之中。

Geffner说: “有了毒液,您就可以在系统上突破虚拟机,并访问该系统网络上的其他数据。” 他补充说,攻击者可以通过覆盖机器内存的关键部分来使用它来 “执行他们喜欢的任何代码”。

这到底是什么意思?用一个更熟悉的比喻: 想象一栋公寓楼。就我们的目的而言,这代表了一个云服务器。现在想象一下公寓大楼内的公寓。这些代表虚拟机。虽然不同的公寓可能共享水、电、暖气和煤气等资源 -- 在这种情况下,这些资源都是由云基础设施提供商管理的 -- 但所有这些资源都被锁定并且无法相互访问。

Geffner有效地发现了一个后门: 可以解锁任何公寓的共享钥匙。

CrowdStrike的首席技术官兼联合创始人Dmitri Alperovitch表示,这是一个特别糟糕的错误。他将毒液与最近发现的其他具有高知名度的漏洞进行了比较,例如 “heartbleed” 和 “shellshock”,并说,考虑到攻击者可以妥协多少,“这可能会更糟”。他说,与其他错误不同,毒液倾向于在具有根级别访问权限或增强管理权限的系统上运行,这使攻击者可以完全访问整个系统,而不仅仅是单个应用程序。

“如果心脏出血的影响类似于有人能够走到你的房子,透过窗户看,shellshock让他们进入房子,拿出电视,” Alperovitch说,“有了毒液,有人不仅可以进入你的房子,拿着电视,他们还可以拿走你的保险箱,偷你的珠宝,然后进入邻居的房子。“

有趣的是,毒液会影响QEMU虚拟机管理程序的几乎完全未使用的组件: 其软盘控制器。(为了使虚拟机像物理机一样行动,并在其上运行操作系统,它们需要能够与实际系统的所有部分对话的代码,甚至看起来像是过时的工件。)由于没有人关注该被忽视地区的安全,该漏洞似乎已从裂缝中溜走。

丹·卡明斯基 (Dan Kaminsky) 是安全研究人员,安全公司White Ops的联合创始人兼首席科学家,他在4月末开始的CrowdStrike负责任披露期间就该漏洞进行了咨询,他的表现要酷一些。“这些事情时有发生,” 他说。“这不是第一个,也不会是最后一个。”

卡明斯基对毒液之前有什么类似的漏洞表示反对。“没有人可以公开谈论。”他停顿了一下。然后通过添加最高级来限定他的评估: “这是我见过的这些错误中最通用的。”

“每个人都吸收了这个错误,没有人想到要审计它,” 他说。他说,这就是为什么在不明显的地方寻找虫子很重要。他现在给每个人的建议?他说,在短期内,“如果你的系统没有自动修补,你需要今天就去修补它。如果需要重新启动,今天就需要重新启动。”

从长远来看,他建议人们尽可能告诉他们的云提供商,他们只想与他们所在领域或公司中的其他人共享工作流程。把你的硬件隔离给你自己。卡明斯基说: “如果你有这种错误,可以从他们的服务器的小块跳到你的服务器的小块,避免这种情况的最好方法是在你的服务器上不要有其他人。”

“它的成本更高,” 他说,“但你基本上是在出价超过你的攻击者。”

Geffner说,CrowdStrike已通知所有使用此易受攻击的QEMU代码的主要软件供应商,并已与他们合作以弥补漏洞。到目前为止,他还没有看到这种虫子在野外被利用,尽管随着新闻的公开,这种情况可能会改变。

格夫纳说: “我的希望和期望是,好人能够在坏人接触到他们的系统之前修补他们的系统。”