上周三,一款潜伏了11年之久的安全漏洞“毒液”被美国知名安全公Crowd Strike发现并曝光。虽然该漏洞从未被利用,目前仅存在理论风险。阿里云在5月19日宣布已快速响应,采用全部热升级的方式,在用户没有感知的情况下,解决了此次的高危漏洞问题。
这个被称为“毒液”的QEMU漏洞,主要帮助黑客利用长期被忽视的虚拟软盘控制器代码“行凶“。通过它,黑客完全有可能借着被黑的“虚拟机”(VM)这个通道,控制操作系统的主机,以及在同一台主机上运行的其他任何客户虚拟机。考虑到包括亚马逊,甲骨文,思杰,和Rackspace在内,大型云服务供应商都很大程度上依赖于QEMU为基础的虚拟化技术,所以这个漏洞潜在可能造成的安全隐患相当大。
漏洞一旦曝光,为了不影响业务安全,需要云计算公司对漏洞快速修复。而不影响业务运行的漏洞热修复技术门槛却很高,同时需考虑多种软硬件组合,给云计算厂商带来了极大挑战。阿里云在虚拟化方面有着比较深厚的技术积累,“毒液“公布之后,阿里云虚拟化团队快速对该漏洞进行审慎的评估,并制定出应对方案。经过紧急测试验证方案安全有效之后,第一时间在全集群进行了QEMU漏洞热修复。
阿里云资深专家张献涛博士表示,“经过Xen漏洞热修复等实践,阿里云成为全球少数同时具备热修复Hypervisor、 Dom0 内核,以及Qemu漏洞能力的云计算厂商。”此外,他还表示,“ 对于正在研发的新一代虚拟化架构,不但支持热修复,还可以支持所有组件热升级,这样安全漏洞可以免疫,还可以进行新的特性的快速迭代。”
今年3月,Xen被爆出多个高危漏洞,多数云计算厂商选择重启进行修复。而阿里云采用热修复技术避免了客户重启,该技术方案随后在Qcon上作分享,等到与会人员的非常高的评价。
云计算服务是一个由上万个组件构成的复杂系统,对技术要求极高。同时,从理论和实践中均不存在完美的,零漏洞,零bug的系统。关键在于及早发现并修复错误。对此,张献涛认为, “态度漏洞是比安全漏洞更加可怕的问题“ ,对待此类漏洞体现了一家云计算厂商的技术能力和对客户数据安全的重视程度。
“毒液“的出现也让很多人联想到去年引发数据安全讨论的漏洞”心脏滴血“。张献涛特别解释,毒液和Heartbleed没有可比性。因为Heartbleed允许黑客探测数以百万计的系统。而毒液入侵的门槛很高,攻击者要想通过访问软盘控制器IO端口获得Qemu甚至宿主机权限,需要突破的防线非常多,比如需要获得Qemu的精确二进制代码,以及需要突破修主机的访问控制设置等。这也是为什么该漏洞存在了11年,一直没有被利用过。