?





當前位置:>> 首頁 > 焦點新聞 > 安全公告

災難性漏洞:Venom威脅大多數據中心

更新時間:2015-06-11 12:20:00點擊次數:1636次字號:T|T

      一安全研究公司發出警報,指一個新的Bug能讓黑客從內部騎劫數據中心的決大部分機器。

      該零日漏洞來自有著廣泛應用的虛擬化軟件的傳統通用組件,可被黑客利用,使其滲透連接到數據中心網絡的每一臺機器。

      目前大多數數據中心都將客戶(包括大型科技公司和小公司的客戶)密集地置于虛擬機上,或是將多個操作系統密集地置于單一的服務器上。虛擬化系統的使用旨在共享資源,但虛擬化系統在主機管理程序里仍然是獨立的實體。虛擬機的運行由主機管理程序全力操縱。新發現的漏洞名為“毒液”(Venom),全稱為“虛擬環境疏忽運作操縱”(Virtualized Environment Neglected Operations Manipulation,縮寫為Venom),黑客可以利用Venom無障礙訪問虛擬機管理程序,因而亦可訪問連在數據中心網絡上的所有設備。

      Venom漏洞源于傳統的虛擬軟盤控制器,少有人理會該虛擬軟盤控制器,但如果虛擬軟盤控制器收到特制的代碼,整個虛擬機管理程序就會崩潰。如此黑客可以從自己的虛擬機破格訪問其他機器,包括其他人或其他公司擁有的機器。

      該Bug是在開源計算機仿真器QEMU里發現的,最初的發現日期是2004年。許多現代虛擬化平臺(如Xen、KVM和Oracle的VirtualBox)都內含該段有毛病的代碼。

      VMware、微軟Hyper-V和Bochs的虛擬機管理程序不受影響。

      漏洞是CrowdStrike的Jason Geffner發現的。他在周二一次電話采訪時表示,“數以百萬計的虛擬機在用含有該漏洞的平臺。”

      Venom漏洞可能是今年發現的最大漏洞之一。發現漏洞的時間離去年臭名昭著Heartbleed漏洞一年多一點點。Heartbleed漏洞影響到開源加密軟件OpenSSL,可被不壞好意的人利用,以獲取受影響的服務器內存中的數據。

      Geffner用了一個比喻解釋兩個漏洞的不同,“Heartbleed能讓對手通過房子的窗戶看到數據,進而收集信息。Venom卻可以讓人潛入到一棟房子里,以及附近所有的房子里。”

      Geffner表示,他的公司正在與軟件廠商合作,以求在周三公布漏洞前修補好漏洞。由于許多公司有自己的硬件和軟件,因此數以千計的受影響的客戶在打補丁時無需下線。

      他表示,目前最大的問題是有些公司運行的系統無法自動打補丁。

      黑客如想利用Venom漏洞的話,就必須以高權限或“根”權限進入一個虛擬機。Geffner給大家提了個醒,他表示,要從一個云計算服務商那租用一個虛擬機用于攻擊虛擬機管理程序,是件很簡單的事。

      Geffner表示,“至于有心搞事的人攻陷虛擬機管理程序后能夠做什么,這將處決于網絡的布局。”言下之意:要騎劫整個數據中心是可能的。

      Dan Kaminsky是一位資深安全專家,從事安全研究工作。他在一份電子郵件里表示,Venom Bug十多年來未引起人們的注意,原因是誰也不會對傳統磁盤驅動器系統瞥上一眼。而幾乎每一個虛擬化軟件里卻恰恰都含有傳統磁盤驅動器系統。

      Kaminsky表示,“運行云系統的人真的要打補丁處理該Bug。應該不會是件太頭痛的事,因為那些可能受到系統影響的大供應商都已經對漏洞采取了措施。”

      由于Venom Bug是在CrowdStrike公司內部發現的,坊間并無公開的代碼可作攻擊用。Geffner表示,利用Venom漏洞進行攻擊并不難,但成功開發可用的惡意代碼“頗費周折”。

      Venom漏洞四月下旬披露后,一眾公司用了近兩周給受影響的系統打補丁。

      Rackspace公司在一份電子郵件聲明中稱,Rackspace被告知旗下的一部分云服務器受到影響,Rackspace還稱旗下的系統已經打了補丁。

      開發了VirtualBox的甲骨文在一份電子郵件聲明中表示,甲骨文公司“知道”該問題存在,已經修復了代碼,并說甲骨文將很快發布一個維護更新。

      甲骨文軟件負責人Frank Mehnert表示,“我們將很快發布VirtualBox 4.3維護版。除此之外,受影響的用戶數量是有限的,因為大多數標準虛擬機的配置禁用軟盤設備仿真。”

      甲骨文的一位發言人拒絕就此發表評論。

      Linux基金會負責Xen項目。其發言人拒絕就細節發表評論,但稱已經發布了一個安全公告。

(編輯:admin)
?
黑豹之月送彩金