一安全研究公司发出警报,指一个新的Bug能让黑客从内部骑劫数据中心的决大部分机器。
该零日漏洞来自有着广泛应用的虚拟化软件的传统通用组件,可被黑客利用,使其渗透连接到数据中心网络的每一台机器。
目前大多数数据中心都将客户(包括大型科技公司和小公司的客户)密集地置于虚拟机上,或是将多个操作系统密集地置于单一的服务器上。虚拟化系统的使用旨在共享资源,但虚拟化系统在主机管理程序里仍然是独立的实体。虚拟机的运行由主机管理程序全力操纵。新发现的漏洞名为“毒液”(Venom),全称为“虚拟环境疏忽运作操纵”(Virtualized Environment Neglected Operations Manipulation,缩写为Venom),黑客可以利用Venom无障碍访问虚拟机管理程序,因而亦可访问连在数据中心网络上的所有设备。
Venom漏洞源于传统的虚拟软盘控制器,少有人理会该虚拟软盘控制器,但如果虚拟软盘控制器收到特制的代码,整个虚拟机管理程序就会崩溃。如此黑客可以从自己的虚拟机破格访问其他机器,包括其他人或其他公司拥有的机器。
该Bug是在开源计算机仿真器QEMU里发现的,最初的发现日期是2004年。许多现代虚拟化平台(如Xen、KVM和Oracle的VirtualBox)都内含该段有毛病的代码。
VMware、微软Hyper-V和Bochs的虚拟机管理程序不受影响。
漏洞是CrowdStrike的Jason Geffner发现的。他在周二一次电话采访时表示,“数以百万计的虚拟机在用含有该漏洞的平台。”
Venom漏洞可能是今年发现的最大漏洞之一。发现漏洞的时间离去年臭名昭著Heartbleed漏洞一年多一点点。Heartbleed漏洞影响到开源加密软件OpenSSL,可被不坏好意的人利用,以获取受影响的服务器内存中的数据。
Geffner用了一个比喻解释两个漏洞的不同,“Heartbleed能让对手通过房子的窗户看到数据,进而收集信息。Venom却可以让人潜入到一栋房子里,以及附近所有的房子里。”
Geffner表示,他的公司正在与软件厂商合作,以求在周三公布漏洞前修补好漏洞。由于许多公司有自己的硬件和软件,因此数以千计的受影响的客户在打补丁时无需下线。
他表示,目前最大的问题是有些公司运行的系统无法自动打补丁。
黑客如想利用Venom漏洞的话,就必须以高权限或“根”权限进入一个虚拟机。Geffner给大家提了个醒,他表示,要从一个云计算服务商那租用一个虚拟机用于攻击虚拟机管理程序,是件很简单的事。
Geffner表示,“至于有心搞事的人攻陷虚拟机管理程序后能够做什么,这将处决于网络的布局。”言下之意:要骑劫整个数据中心是可能的。
Dan Kaminsky是一位资深安全专家,从事安全研究工作。他在一份电子邮件里表示,Venom Bug十多年来未引起人们的注意,原因是谁也不会对传统磁盘驱动器系统瞥上一眼。而几乎每一个虚拟化软件里却恰恰都含有传统磁盘驱动器系统。
Kaminsky表示,“运行云系统的人真的要打补丁处理该Bug。应该不会是件太头痛的事,因为那些可能受到系统影响的大供应商都已经对漏洞采取了措施。”
由于Venom Bug是在CrowdStrike公司内部发现的,坊间并无公开的代码可作攻击用。Geffner表示,利用Venom漏洞进行攻击并不难,但成功开发可用的恶意代码“颇费周折”。
Venom漏洞四月下旬披露后,一众公司用了近两周给受影响的系统打补丁。
Rackspace公司在一份电子邮件声明中称,Rackspace被告知旗下的一部分云服务器受到影响,Rackspace还称旗下的系统已经打了补丁。
开发了VirtualBox的甲骨文在一份电子邮件声明中表示,甲骨文公司“知道”该问题存在,已经修复了代码,并说甲骨文将很快发布一个维护更新。
甲骨文软件负责人Frank Mehnert表示,“我们将很快发布VirtualBox 4.3维护版。除此之外,受影响的用户数量是有限的,因为大多数标准虚拟机的配置禁用软盘设备仿真。”
甲骨文的一位发言人拒绝就此发表评论。
Linux基金会负责Xen项目。其发言人拒绝就细节发表评论,但称已经发布了一个安全公告。