«Ядовитый» дефект чреват побегом из VM, кражей данных

Тема в разделе "Новости информационной безопасности", создана пользователем regist, 21 май 2015.

  1. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    В скромном компоненте, присутствующем на многих виртуальных платформах, обнаружена уязвимость, которая позволяет атакующему выйти за пределы гостевой VM и выполнить код на хост-машине, а также на других VM в этом хост-окружении. По словам экспертов, данная брешь актуальна для широкого спектра продуктов виртуализации, работающих под управлением популярных операционных систем.
    Чтобы воспользоваться этой уязвимостью, хакеру достаточно просто обратиться к услугам облачного хостинг-провайдера. С такой площадки он сможет через эксплойт выйти за пределы своей виртуальной машины и получить доступ к любой VM на хосте. Атакующему также откроется возможность проникнуть в локальную сеть, в которой работает хост-машина, и добраться до конфиденциальных данных, хранящихся в этой сети. Опасный баг был обнаружен Джейсоном Геффнером (Jason Geffner), ведущим специалистом по ИБ-исследованиям CrowdStrike.
    Уязвимость непосредственно содержится в виртуальном контроллере флоппи-дисков (FDC), который входит в состав QEMU — комплекта средств для эмуляции с открытым исходным кодом. Этот уязвимый компонент присутствует в ряде продуктов для виртуализации, в том числе в Xen и KVM, и самую многочисленную целевую аудиторию для атакующих составляют хостинг-провайдеры, использующие такие платформы. С учетом общей тенденции к переносу корпоративных ресурсов в облако потенциальный ущерб от эксплуатации уязвимости десятилетней давности может оказаться весьма ощутимым.
    «Подобная атака требует финансовых затрат: обычно злоумышленнику нужно просто найти подходящий эксплойт, а в данном случае ему приходится платить, если он хочет получить некоторые локальные привилегии, — отмечает Дэн Каминский (Dan Kaminsky), соучредитель White Ops. — Код, позволяющий изолировать виртуальные машины, широко распространен, но, как и все коды, он имеет свои слабости. Многие облачные провайдеры предлагают повысить изоляцию аппаратного оборудования, чтобы клиенты могли свести к минимуму открытые связи между виртуальными машинами, ограничив их лишь пределами своей организации. Если такая дополнительная услуга доступна, есть смысл ее приобрести, чтобы снизить шансы для атакующих».
    Хотя флоппи-диски безнадежно устарели, код FDC, повинный в наличии данной уязвимости, до сих пор используется, и достаточно широко. «Для многих уязвимых продуктов, предназначенных для эмуляции, виртуальный флоппи-дисковод добавляется на новые виртуальные машины по умолчанию, — констатируют эксперты в разделе FAQ своего отчета об опасной бреши. — В случае с Xen и QEMU администратор может решительно запретить выполнение этой функции, однако из-за другой, не связанной с данной уязвимостью ошибки ненадежный FDC-код сохранит свою активность и останется открытым для эксплойта».
    Критической уязвимости было присвоено наименование VENOM, что расшифровывается как Virtualized Environment Neglected Operations Manipulation (а само сокращение можно перевести как «яд», «ядовитый»). Геффнер обнаружил ее, проводя аудит гипервизоров виртуальных машин. Этот баг существует с 2004 года, с того момента, когда код виртуального FDC был добавлен в QEMU. Разработчики Xen и QEMU уже выпустили соответствующий патч, и большинство крупных облачных провайдеров тоже приняли меры против эксплойта. Тем не менее Каминский, работавший вместе с CrowdStrike над фиксом, полагает, что угроза использования VENOM в атаках пока остается актуальной.
    «Темпы внедрения сетевых песочниц для анализа трафика растут, — отмечает эксперт, — и приходится за это расплачиваться. Побег из VM (а здесь особый случай, эта возможность наследуется во всей экосистеме) позволяет хакеру просматривать весь трафик в атакуемой сети. Во всяком случае, архитектуру на основе песочницы невозможно пропатчить так же, как обычное сетевое оборудование. Если вы ее используете, немедленно займитесь детальной проверкой, потому как такая архитектура по природе своей открыта для злоупотреблений».
    Участники проекта Xen посвятили VENOM отдельный информационный бюллетень. «Данной уязвимости в той или иной степени (в зависимости от конфигурации) подвержены все Xen-системы с гостевыми платформами на базе архитектуры x86, которые работают в режиме полной виртуализации и не используют для моделирования отдельные домены, — предостерегают разработчики. — Дефолтная конфигурация так же уязвима, как и гостевые системы, поддерживающие модели устройств qemu-xen или qemu. Гостевым системам, использующим для моделирования процесс qemu-dm, грозит лишь захват служебного домена».
    Представители Amazon, крупнейшего провайдера облачных услуг, убеждены, что баг VENOM не касается их систем. «Мы в курсе проблемы с безопасностью QEMU за номером CVE-2015-3456, также известной как VENOM, которая свойственна различным виртуальным платформам, — отмечено в соответствующем информационном бюллетене Amazon. — Она не составляет угрозы для данных клиентов AWS и их систем».

    About Dennis Fisher
    Dennis Fisher is a journalist with more than 13 years of experience covering information security.
     
    akok, Dragokas, Kиpилл и 3 другим нравится это.

Поделиться этой страницей