科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全比Heartbleed更大的漏洞:Venom安全漏洞威胁大多数数据中心

比Heartbleed更大的漏洞:Venom安全漏洞威胁大多数数据中心

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

安全研究人员指零日漏洞“毒液”(Venom)影响到世界各地数据中心的“数百万”的机器。

来源:ZDNet安全频道 2015年5月14日

关键字: 网络安全 安全漏洞 Venom 数据中心安全

  • 评论
  • 分享微博
  • 分享邮件

比Heartbleed更大的漏洞:Venom安全漏洞威胁大多数数据中心

 

Heartbleed该挪挪位子了。又发现了一个新的灾难性漏洞。

一安全研究公司发出警报,指一个新的Bug能让黑客从内部骑劫数据中心的决大部分机器。

该零日漏洞来自有着广泛应用的虚拟化软件的传统通用组件,可被黑客利用,使其渗透连接到数据中心网络的每一台机器。

目前大多数数据中心都将客户(包括大型科技公司和小公司的客户)密集地置于虚拟机上,或是将多个操作系统密集地置于单一的服务器上。虚拟化系统的使用旨在共享资源,但虚拟化系统在主机管理程序里仍然是独立的实体。虚拟机的运行由主机管理程序全力操纵。新发现的漏洞名为“毒液”(Venom),全称为“虚拟环境疏忽运作操纵”(Virtualized Environment Neglected Operations Manipulation,缩写为Venom),黑客可以利用Venom无障碍访问虚拟机管理程序,因而亦可访问连在数据中心网络上的所有设备。

Venom漏洞源于传统的虚拟软盘控制器,少有人理会该虚拟软盘控制器,但如果虚拟软盘控制器收到特制的代码,整个虚拟机管理程序就会崩溃。如此黑客可以从自己的虚拟机破格访问其他机器,包括其他人或其他公司拥有的机器。

该Bug是在开源计算机仿真器QEMU里发现的,最初的发现日期是2004年。许多现代虚拟化平台(如Xen、KVM和Oracle的VirtualBox)都内含该段有毛病的代码。

VMware、微软Hyper-V和Bochs的虚拟机管理程序不受影响。

漏洞是CrowdStrike的Jason Geffner发现的。他在周二一次电话采访时表示,“数以百万计的虚拟机在用含有该漏洞的平台。”

Venom漏洞可能是今年发现的最大漏洞之一。发现漏洞的时间离去年臭名昭著Heartbleed漏洞一年多一点点。Heartbleed漏洞影响到开源加密软件OpenSSL,可被不坏好意的人利用,以获取受影响的服务器内存中的数据。

Geffner用了一个比喻解释两个漏洞的不同,“Heartbleed能让对手通过房子的窗户看到数据,进而收集信息。Venom却可以让人潜入到一栋房子里,以及附近所有的房子里。”

Geffner表示,他的公司正在与软件厂商合作,以求在周三公布漏洞前修补好漏洞。由于许多公司有自己的硬件和软件,因此数以千计的受影响的客户在打补丁时无需下线。

他表示,目前最大的问题是有些公司运行的系统无法自动打补丁。

黑客如想利用Venom漏洞的话,就必须以高权限或“根”权限进入一个虚拟机。Geffner给大家提了个醒,他表示,要从一个云计算服务商那租用一个虚拟机用于攻击虚拟机管理程序,是件很简单的事。

Geffner表示,“至于有心搞事的人攻陷虚拟机管理程序后能够做什么,这将处决于网络的布局。”言下之意:要骑劫整个数据中心是可能的。

Dan Kaminsky是一位资深安全专家,从事安全研究工作。他在一份电子邮件里表示,Venom Bug十多年来未引起人们的注意,原因是谁也不会对传统磁盘驱动器系统瞥上一眼。而几乎每一个虚拟化软件里却恰恰都含有传统磁盘驱动器系统。

Kaminsky表示,“运行云系统的人真的要打补丁处理该Bug。应该不会是件太头痛的事,因为那些可能受到系统影响的大供应商都已经对漏洞采取了措施。”

由于Venom Bug是在CrowdStrike公司内部发现的,坊间并无公开的代码可作攻击用。Geffner表示,利用Venom漏洞进行攻击并不难,但成功开发可用的恶意代码“颇费周折”。

Venom漏洞四月下旬披露后,一众公司用了近两周给受影响的系统打补丁。

Rackspace公司在一份电子邮件声明中称,Rackspace被告知旗下的一部分云服务器受到影响,Rackspace还称旗下的系统已经打了补丁。

开发了VirtualBox的甲骨文在一份电子邮件声明中表示,甲骨文公司“知道”该问题存在,已经修复了代码,并说甲骨文将很快发布一个维护更新。

甲骨文软件负责人Frank Mehnert表示,“我们将很快发布VirtualBox 4.3维护版。除此之外,受影响的用户数量是有限的,因为大多数标准虚拟机的配置禁用软盘设备仿真。”

甲骨文的一位发言人拒绝就此发表评论。

Linux基金会负责Xen项目。其发言人拒绝就细节发表评论,但称已经发布了一个安全公告。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章