比Heartbleed更大的漏洞：Venom安全漏洞威胁大多数数据中心

Heartbleed该挪挪位子了。又发现了一个新的灾难性漏洞。

一安全研究公司发出警报，指一个新的Bug能让黑客从内部骑劫数据中心的决大部分机器。

该零日漏洞来自有着广泛应用的虚拟化软件的传统通用组件，可被黑客利用，使其渗透连接到数据中心网络的每一台机器。

目前大多数数据中心都将客户（包括大型科技公司和小公司的客户）密集地置于虚拟机上，或是将多个操作系统密集地置于单一的服务器上。虚拟化系统的使用旨在共享资源，但虚拟化系统在主机管理程序里仍然是独立的实体。虚拟机的运行由主机管理程序全力操纵。新发现的漏洞名为“毒液”（Venom），全称为“虚拟环境疏忽运作操纵”（Virtualized Environment Neglected Operations Manipulation，缩写为Venom），黑客可以利用Venom无障碍访问虚拟机管理程序，因而亦可访问连在数据中心网络上的所有设备。

Venom漏洞源于传统的虚拟软盘控制器，少有人理会该虚拟软盘控制器，但如果虚拟软盘控制器收到特制的代码，整个虚拟机管理程序就会崩溃。如此黑客可以从自己的虚拟机破格访问其他机器，包括其他人或其他公司拥有的机器。

该Bug是在开源计算机仿真器QEMU里发现的，最初的发现日期是2004年。许多现代虚拟化平台（如Xen、KVM和Oracle的VirtualBox）都内含该段有毛病的代码。

VMware、微软Hyper-V和Bochs的虚拟机管理程序不受影响。

漏洞是CrowdStrike的Jason Geffner发现的。他在周二一次电话采访时表示，“数以百万计的虚拟机在用含有该漏洞的平台。”

Venom漏洞可能是今年发现的最大漏洞之一。发现漏洞的时间离去年臭名昭著Heartbleed漏洞一年多一点点。Heartbleed漏洞影响到开源加密软件OpenSSL，可被不坏好意的人利用，以获取受影响的服务器内存中的数据。

Geffner用了一个比喻解释两个漏洞的不同，“Heartbleed能让对手通过房子的窗户看到数据，进而收集信息。Venom却可以让人潜入到一栋房子里，以及附近所有的房子里。”

Geffner表示，他的公司正在与软件厂商合作，以求在周三公布漏洞前修补好漏洞。由于许多公司有自己的硬件和软件，因此数以千计的受影响的客户在打补丁时无需下线。

他表示，目前最大的问题是有些公司运行的系统无法自动打补丁。

黑客如想利用Venom漏洞的话，就必须以高权限或“根”权限进入一个虚拟机。Geffner给大家提了个醒，他表示，要从一个云计算服务商那租用一个虚拟机用于攻击虚拟机管理程序，是件很简单的事。

Geffner表示，“至于有心搞事的人攻陷虚拟机管理程序后能够做什么，这将处决于网络的布局。”言下之意：要骑劫整个数据中心是可能的。

Dan Kaminsky是一位资深安全专家，从事安全研究工作。他在一份电子邮件里表示，Venom Bug十多年来未引起人们的注意，原因是谁也不会对传统磁盘驱动器系统瞥上一眼。而几乎每一个虚拟化软件里却恰恰都含有传统磁盘驱动器系统。

Kaminsky表示，“运行云系统的人真的要打补丁处理该Bug。应该不会是件太头痛的事，因为那些可能受到系统影响的大供应商都已经对漏洞采取了措施。”

由于Venom Bug是在CrowdStrike公司内部发现的，坊间并无公开的代码可作攻击用。Geffner表示，利用Venom漏洞进行攻击并不难，但成功开发可用的恶意代码“颇费周折”。

Venom漏洞四月下旬披露后，一众公司用了近两周给受影响的系统打补丁。

Rackspace公司在一份电子邮件声明中称，Rackspace被告知旗下的一部分云服务器受到影响，Rackspace还称旗下的系统已经打了补丁。

开发了VirtualBox的甲骨文在一份电子邮件声明中表示，甲骨文公司“知道”该问题存在，已经修复了代码，并说甲骨文将很快发布一个维护更新。

甲骨文软件负责人Frank Mehnert表示，“我们将很快发布VirtualBox 4.3维护版。除此之外，受影响的用户数量是有限的，因为大多数标准虚拟机的配置禁用软盘设备仿真。”

甲骨文的一位发言人拒绝就此发表评论。

Linux基金会负责Xen项目。其发言人拒绝就细节发表评论，但称已经发布了一个安全公告。