一個價值18萬美金的漏洞是什麼樣的?
11月7日,在天府杯2020國際網絡安全大賽的產品破解賽上,360政企安全漏洞研究院選手挑戰VMWare ESXi項目,僅用幾K代碼就實現了虛擬機逃逸,獲取了系統最高權限,成為可以完全控制機器的“上帝之手”。
這短短15秒的破解操作,一舉拿下了本屆大賽賽題的最高獎金。
通常來説,虛擬化是指通過硬件抽象層對整個計算機系統進行虛擬,將一台物理計算機系統虛擬化為一台或多台虛擬計算機系統。隨着虛擬化技術的發展,各虛擬化產品都得到了極大的發展,其中,在商用市場中,VMware以遙遙領先的市場份額,堪稱虛擬化屆的翹楚。
此次天府杯上將VMWare ESXi破解項目置於“賽眼”,一方面由於其破解難度極高,另一方面是漏洞影響範圍廣泛。
據負責完成此次破解賽的360政企安全漏洞研究院漏洞挖掘與利用高級專家、虛擬化安全研究員肖偉談到,VMWare ESXi破解難度堪稱“S”級,其原因一是攻擊面很少,二是沙箱很難饒過。
眾所周知,沙箱中有很多文件夾不能訪問、不能創建進程,可以説權限很低。此次肖偉則是利用用户態程序的UAF漏洞,實現代碼執行,通過一個內核漏洞,繞過了沙箱限制,獲得內核級別的代碼執行,最終得到了系統最高權限。
如果説這一項目破解難度為“S”級,那漏洞影響力同樣是“S”級。肖偉表示,當前眾多私有云都使用了VMWare ESXi,通常是在一台物理機上運行了幾十台、上百台虛擬機,只要從一台虛擬機完成逃逸,就能控制在其上面運行的所有虛擬機。放在現實場景中,一台物理機上承載着上百企業的運行業務,一旦攻擊者從一個虛擬機逃逸,就能以此為跳板,獲取其他上百企業系統的最高權限。
一張多米諾骨牌倒牌,能造成一連串倒牌崩潰現象。一個虛擬機被操控,可能致使上百企業的敏感數據、業務數據被大面積泄露,或將造成鉅額資金損失。
而這一過程的起源,僅僅可能是一個運行了15秒的程序。
虛擬機安全隱患頻發 360專家提防範思路雲計算的廣泛應用,在推動虛擬機、雲主機、容器等技術相繼落地的同時,也讓安全問題日益突出。
雲時代對數據和運算的依賴性,創生了無數虛擬機。在這些虛擬機裏,可能奔流着銀行交易數據、政府系統信息、企業重要財報等。但也衍生了最嚴重的安全問題——虛擬機逃逸。虛擬機逃逸是突破虛擬機的限制,實現與宿主機操作系統交互的一個過程,攻擊者可以通過虛擬機逃逸感染宿主機或者在宿主機上運行惡意軟件。
面對虛擬機逃逸事件,以及虛擬機逃逸攻擊可能帶來的巨大危害,防範虛擬機逃逸已經成為關鍵問題。破解賽現場,肖偉給出了幾個防範思路:一是移除一些虛擬機不使用的設備,實現自我“減重”也降低攻擊面,也可將虛擬機和ESXi進行網絡隔離,進一步減少攻擊面;二是及時找出漏洞,更新補丁,消滅已知漏洞,廠商可通過懸賞方式鼓勵白帽進行漏洞挖掘,減少自身漏洞,降低逃逸事件發生概率;三是通過緩解措施,提升逃逸難度,也可以利用沙箱機制,實施多級防護;四是對於未知攻擊風險,可以通過對用户行為進行監測、分析,及時識別未知逃逸行為。
據悉,目前360政企安全漏洞研究院已將漏洞反饋給廠商,廠商隨後也將對這一高危漏洞上線緊急補丁。賽後,360政企安全漏洞研究院也將協助廠商進行其他漏洞修復工作。
隨着業界對虛擬機逃逸風險越來越重視,基於軟硬件相結合的緩解措施以及層層隔離的沙箱機制等安全措施的不斷完善,虛擬機逃逸難度也將越來越難,企業虛擬化的環境也將越來越安全。
此次“天府杯”2020國際網絡安全大賽於11月7日在成都正式開幕,大賽持續兩天時間,由360集團聯合多家行業頂尖單位共同主辦。作為本屆參賽的20多支戰隊之一,360政企安全漏洞研究院一路勢如破竹,連續攻破Chrome、Firefox、VMWareWorkstation、VMWare ESXi、Ubuntu、Adobe PDF Reader等項目,成為天府“摘金頭牌”戰隊,成功領跑2020天府榜單。
雷鋒網雷鋒網