“毒液” 漏洞: 严重的计算机错误破坏了云安全

在几英里外的某些数据中心内，您的云托管网络的一部分可能与其他人在同一系统上运行。

通常，这不是问题。所谓的虚拟机-基本上是在其他计算机中模拟的计算机-防止同一台计算机上的网络相互影响。它们是管理大量计算资源的一种有效方法，同时大概可以使它们保持隔离和安全。

总部位于加利福尼亚州欧文的安全公司CrowdStrike的研究人员说，这并不是全部。事实证明，攻击者可以从某些虚拟机中爆发并操纵相邻运行的任何东西，从而打破了这些船只具有坚硬而快速的保护性边界的观念。

CrowdStrike的高级安全研究员杰森·格夫纳 (Jason Geffner) 发现了该漏洞，他说: “这破坏了隔离神话，即您可以让某些东西运行虚拟机，并将其与其他所有东西隔离开来。”“这个错误可以让你逃离一个容器，进入所有其他容器。”

周三上午，Geffner的团队宣布在通用虚拟机平台中发现了一个零日漏洞，这意味着以前未知的计算机错误。dubbedVenomfor “虚拟化环境被忽视的操作操作” 的错误影响了一种技术，在技术上被称为管理程序，该技术控制和协调系统上运行的虚拟机。

该漏洞特别影响了已有十年历史的免费开源管理程序，称为快速仿真器 (QEMU)，该程序用于许多常见的虚拟化产品，包括Xen管理程序、KVM (或 “基于内核的虚拟机”) 、Oracle VM VirtualBox和本机QEMU客户端。另一方面，EMC旗下的VMWareand Microsoft Hyper-V的流行产品不受影响。

各种安全产品也依赖于易受攻击的技术来隔离和检查恶意软件-鉴于某些虚拟机可能 (如现在所示) 泄漏，这是一个潜在的危险命题。

格夫纳说: “即使你不直接使用这些服务，存储你个人数据的账户也很有可能运行这些产品。”实际上，CrowdStrike估计该错误可能使成千上万的组织和数百万用户处于危险之中。

Geffner说: “有了毒液，您就可以在系统上突破虚拟机，并访问该系统网络上的其他数据。” 他补充说，攻击者可以通过覆盖机器内存的关键部分来使用它来 “执行他们喜欢的任何代码”。

这到底是什么意思？用一个更熟悉的比喻: 想象一栋公寓楼。就我们的目的而言，这代表了一个云服务器。现在想象一下公寓大楼内的公寓。这些代表虚拟机。虽然不同的公寓可能共享水、电、暖气和煤气等资源 -- 在这种情况下，这些资源都是由云基础设施提供商管理的 -- 但所有这些资源都被锁定并且无法相互访问。

Geffner有效地发现了一个后门: 可以解锁任何公寓的共享钥匙。

CrowdStrike的首席技术官兼联合创始人Dmitri Alperovitch表示，这是一个特别糟糕的错误。他将毒液与最近发现的其他具有高知名度的漏洞进行了比较，例如 “heartbleed” 和 “shellshock”，并说，考虑到攻击者可以妥协多少，“这可能会更糟”。他说，与其他错误不同，毒液倾向于在具有根级别访问权限或增强管理权限的系统上运行，这使攻击者可以完全访问整个系统，而不仅仅是单个应用程序。

“如果心脏出血的影响类似于有人能够走到你的房子，透过窗户看，shellshock让他们进入房子，拿出电视，” Alperovitch说，“有了毒液，有人不仅可以进入你的房子，拿着电视，他们还可以拿走你的保险箱，偷你的珠宝，然后进入邻居的房子。“

有趣的是，毒液会影响QEMU虚拟机管理程序的几乎完全未使用的组件: 其软盘控制器。(为了使虚拟机像物理机一样行动，并在其上运行操作系统，它们需要能够与实际系统的所有部分对话的代码，甚至看起来像是过时的工件。)由于没有人关注该被忽视地区的安全，该漏洞似乎已从裂缝中溜走。

丹·卡明斯基 (Dan Kaminsky) 是安全研究人员，安全公司White Ops的联合创始人兼首席科学家，他在4月末开始的CrowdStrike负责任披露期间就该漏洞进行了咨询，他的表现要酷一些。“这些事情时有发生，” 他说。“这不是第一个，也不会是最后一个。”

卡明斯基对毒液之前有什么类似的漏洞表示反对。“没有人可以公开谈论。”他停顿了一下。然后通过添加最高级来限定他的评估: “这是我见过的这些错误中最通用的。”

“每个人都吸收了这个错误，没有人想到要审计它，” 他说。他说，这就是为什么在不明显的地方寻找虫子很重要。他现在给每个人的建议？他说，在短期内，“如果你的系统没有自动修补，你需要今天就去修补它。如果需要重新启动，今天就需要重新启动。”

从长远来看，他建议人们尽可能告诉他们的云提供商，他们只想与他们所在领域或公司中的其他人共享工作流程。把你的硬件隔离给你自己。卡明斯基说: “如果你有这种错误，可以从他们的服务器的小块跳到你的服务器的小块，避免这种情况的最好方法是在你的服务器上不要有其他人。”

“它的成本更高，” 他说，“但你基本上是在出价超过你的攻击者。”

Geffner说，CrowdStrike已通知所有使用此易受攻击的QEMU代码的主要软件供应商，并已与他们合作以弥补漏洞。到目前为止，他还没有看到这种虫子在野外被利用，尽管随着新闻的公开，这种情况可能会改变。

格夫纳说: “我的希望和期望是，好人能够在坏人接触到他们的系统之前修补他们的系统。”