Přehled
Dne 13. května 2015 bezpečnostní výzkumník Jason Geffner z CrowdStrike veřejně odhalil zranitelnost některých virtualizačních platforem útočníkovi, aby vyskočil z karantény virtuálního stroje (VM) a získal přístup k chráněnému hostiteli virtualizace. Tato zranitelnost byla pokřtěna jako „VENOM“ pro Virtualized Environment Neglected Operations Manipulation (CVE-2015-345) a týká se jakéhokoli neopraveného virtualizačního hostitele postaveného na open source emulátoru QEMU, včetně Xen, KVM a VirtualBox společnosti Oracle. Technologie, které nevyužívají QEMU, jako je VMWare, Microsoft Hyper-V a Bochs, nejsou ovlivněny.
Virtualizační primer
Virtualizace je v širším smyslu implementace technologie, která umožňuje jednomu velkému počítači rozdělit své zdroje (např. procesor, paměť, místo na pevném disku) na provoz mnoha menších virtuálních počítačů. Každý z těchto virtuálních počítačů běží, jako by se jednalo o samostatný systém, izolovaný od ostatních virtuálních počítačů běžících na stejném hostiteli. Tato architektura umožňuje operátorům serverů snadněji spravovat a nasazovat servery, protože mohou vytvořit nový virtuální počítač za mnohem kratší dobu, než by zabralo vytvoření fyzické verze. Umožňuje také provozovatelům datových center a poskytovatelům hostingu efektivněji využívat své zdroje. Virtualizační hostitel, na kterém běží například 10 virtuálních počítačů, využívá zlomek prostoru, energie a chlazení, které využívá 10 ekvivalentních fyzických počítačů.
Co může udělat Exploit Against VENOM?
Jednou z dalších výhod virtualizační platformy je možnost segregovat virtuální počítače. Takže i když mohou používat stejný sdílený hardware, virtuální počítače jsou izolované. Taková izolace umožňuje správci serveru poskytovat různé virtuální počítače s různými operačními systémy pro různé zákazníky. Tito zákazníci by nikdy nevěděli, že sdílejí prostředky na virtualizačním hostiteli s jinými zákazníky. A i když měli na svých virtuálních počítačích oprávnění root nebo administrátora, omezení jim brání dělat cokoli, co by ovlivnilo jakýkoli jiný virtuální počítač.
Tento koncept pevné infrastruktury je to, co dělá myšlenku zranitelnosti, jako je VENOM, tak znepokojující. Jak popisuje Geffner na webu CrowdStrike:
Tato chyba zabezpečení může umožnit útočníkovi uniknout z omezení ovlivněného hosta virtuálního počítače (VM) a potenciálně získat přístup ke spuštění kódu k hostiteli. Bez zmírnění by tento únik virtuálního počítače mohl otevřít přístup k hostitelskému systému a všem ostatním virtuálním počítačům běžícím na tomto hostiteli, což by mohlo protivníkům poskytnout významný zvýšený přístup k místní síti hostitele a přilehlým systémům.
U poskytovatele, který se spoléhal na zabezpečení izolace virtuálních počítačů, může taková zranitelnost způsobit značný poplach.
Kolik alarmu?
I když bylo oznámení o této zranitelnosti v některých médiích přirovnáváno k Heartbleed, je důležité porovnat to, co je známo, s tím, co je možné a pravděpodobné.
Podle Geffnera „zranitelnost VENOM existuje od roku 2004“, ačkoli ve volné přírodě nebylo zdokumentováno žádné známé zneužití (v době psaní tohoto textu). Geffner sdílel svá zjištění s hlavními dodavateli virtualizace, kteří využívají QEMU 20. dubna 2015. Jakmile byla záplata vyvinuta, zveřejnil svá zjištění na webu CrowdStrike 13. května 2015.
K dnešnímu dni však nebyl předložen žádný veřejný důkaz konceptu. V současné době nevíme, jak jednoduché nebo obtížné je vytvořit kód, který dokáže využít VENOM. Vzhledem k tomu, že VENOM ponechává systém otevřený útoku prostřednictvím hackerova starého přítele, přetečení vyrovnávací paměti, mohl by být v nejjednodušším případě zneužit ke zhroucení hostitelského počítače, což by mělo za následek odmítnutí služby. S větší opatrností a chytrostí by útočník mohl potenciálně získat přístup k samotnému virtualizačnímu hostiteli a mohl by kompromitovat ostatní virtuální počítače běžící na stejném hostiteli.
Co můžeme udělat, abychom se ochránili?
Vzhledem k tomu, že VENOM byl odhalen zodpovědně, což prodejcům poskytlo čas na vytvoření opravy, je povinností administrátorů virtualizačních hostitelů aplikovat opravu tak rychle, jak je to možné. Jednotlivci, jejichž služby běží na virtuálních počítačích běžících na sdílené virtualizační platformě, mohou sami dělat jen málo. Mohou však navštívit webové stránky svého poskytovatele, aby zjistili, zda jsou zranitelní a jaké kroky podnikají k řešení této zranitelnosti. V případě potřeby mohou vyvinout tlak, aby donutili své administrátory, aby opravili jejich systémy, než se tato potenciální hrozba stane funkčním zneužitím široce využívaným temnějšími stránkami internetu.
Chcete-li se dozvědět více o tom, co Atlantic.Net dělá pro řešení zranitelnosti VENOM, podívejte se na nejnovější informace na našem blogu. Neustále se snažíme nabízet nejbezpečnější virtuální privátní servery nabízející to nejlepší z aplikací pro instalaci jedním kliknutím, jako je mimo jiné cPanel Hosting.
Aktualizováno 15. května 2015 o odkaz na blog Atlantic.Net