رخنه‌ای به نام VENOM: هک دیتاسنتر به روش خیلی سخت!

/۰ دیدگاه‌/در /توسط

سلام

VENOM: Virtualized Environment Neglected Operations Manipulation
Discovered by Jason Geffner, CrowdStrike Senior Security Researcher

آسیب‌پذیری VENOM, CVE-2015-3456  مربوط به باگی میشه در سورس کد فلاپی درایور مجازی که پیاده‌سازی اون در خیلی از ماشین‌های مجازی وجود داره و سه روز پیش در تاریخ ۲۳ اردیبهشت ۱۳۹۴ (۱۳ می ۲۰۱۵) توسط CrowdStrike منتشر شد. با استفاده از این آسیب‌پذیری، هکر از طریق سیستم‌عامل مجازی (و مهمان) می‌تونه کنترل کل میزبان و سرور رو در اختیار بگیره. مثلا اگر دیتاسنتر شما روی یک سرور ۱۰ تا VPS بالا اورده، هکر با استفاده از اکسپلویت یکی از این سرورهای مجازی، می‌تونه کنترل تمام سرور رو به دست بگیره.

venom-virtualisation-vulnerability

سلام

VENOM: Virtualized Environment Neglected Operations Manipulation
Discovered by Jason Geffner, CrowdStrike Senior Security Researcher

آسیب‌پذیری VENOM, CVE-2015-3456  مربوط به باگی میشه در سورس کد فلاپی درایور مجازی که پیاده‌سازی اون در خیلی از ماشین‌های مجازی وجود داره و سه روز پیش در تاریخ ۲۳ اردیبهشت ۱۳۹۴ (۱۳ می ۲۰۱۵) توسط CrowdStrike منتشر شد. با استفاده از این آسیب‌پذیری، هکر از طریق سیستم‌عامل مجازی (و مهمان) می‌تونه کنترل کل میزبان و سرور رو در اختیار بگیره. مثلا اگر دیتاسنتر شما روی یک سرور ۱۰ تا VPS بالا اورده، هکر با استفاده از اکسپلویت یکی از این سرورهای مجازی، می‌تونه کنترل تمام سرور رو به دست بگیره.

venom-virtualisation-vulnerability
 

محصولات چه شرکت‌هایی در خطر هستند؟

این باگ در کنترلر دیسک‌های فلاپی (FDC) مجازی QEMU وجود داره و ضمنا توسط خیلی از پلتفرم‌ها و برنامه‌های مجازی سازی مورد استفاده قرار می‌گیره مثل Xen, KVM و کلاینت‌های QEMU

اما VMware, Microsoft Hyper-V, و Bochs hypervisors در خطر نیستند.

البته دقت داشته باشید که هکر برای اکسپلویت این باگ نیاز به دسترسی root در سیستم عامل داره.
 

آیا کسی تونسته این باگ رو اکسپلویت کنه؟

خوشبختانه تا حالا کسی به صورت عمومی روش استفاده از این باگ رو توضیح نداده و در وبلاگ Rapid7 هم اومده که کسی در عمل نمی‌تونه از این باگ استفاده کنه. اما دو روز پیش توییت زیر رو دیدم ولی دنبالش رو نگرفتم:

venom-virtualisation-vulnerability-tweet
 

با توجه به منسوخ‌شدن فلاپی‌دیسک پس چرا هنوز این مشکل وجود داره؟

درسته که در کیس‌ها و لپ‌تاپ ها دیگه از فلاپی‌دیسک استفاده نمی‌شه اما خیلی از ماشین‌های مجازی به صورت پیش‌فرض درایور فلاپی‌دیسک رو نصب می‌کنند. حتی اگر مدیر و ادمین سیستم، درایور فلاپی‌ رو غیرفعال کنه بازهم سیستم‌عامل نسبت به FDC آسیب‌پذیر می‌مونه چون در واقع قابلیت اون برای سیستم تعریف شده هرچند که شما نخواین از اون استفاده کنید.
 

فرق این باگ با سایر آسیب‌پذیری‌های مربوط به «فرار و افزایش دسترسی در ماشین‌های مجازی» چیه؟

در تمام باگ‌های قبلی که لیست اون‌ها رو در زیر آوردم اکسپلوییت در زمانی اتفاق می‌افتاد که ماشین مجازی دارای تنظیماتی غیرپیش فرض باشه. مثلا ادمین سیستم یک قابلیت رو به ماشین‌مجازی اضافه کرده باشه و هکر هم از اون برای حمله به سرور استفاده کنه اما باگ VENOM در شرایط تنظیمات پیش‌فرض رخ می‌ده و این اتفاق این باگ رو خاص می‌کنه.

  •     CVE-2007-1744 – Directory traversal vulnerability in shared folders feature
  •     CVE-2008-0923 – Path traversal vulnerability in VMware’s shared folders implementation
  •     CVE-2009-1244 – Cloudburst (VMware virtual video adapter vulnerability)
  •     CVE-2011-1751 – Missing hotplug check during device removal
  •     CVE-2012-0217 – ۶۴-bit PV guest privilege escalation vulnerability
  •     CVE-2014-0983 – Oracle VirtualBox 3D acceleration multiple memory corruption vulnerabilities
     

توضیح تکنیکال و فنی این آسیب‌پذیری

سیستم عامل مهمان برای ارتباط با FDC فرمان‌هایی مثل seek, read, write, format و… رو به پورت ورودی/خروجی FDC ارسال می‌کنه.  FDC مجازی مربوط به QEMU برای مرتب‌سازی این دستورات و سایر پارامترها و داده‌های مرتبط از بافری با سایز مشخص و ثابت استفاده می‌کنه. FDC مقدار داده‌هایی که برای هر دستور لازمه رو در خودش نگه می‌داره و وقتی دستوری رو از سیستم‌عامل مهمان دریافت میکنه، دستور رو اجرا کرده و بافر رو برای دستور بعدی خالی می‌کنه.

بافر بعد از اجرای تمام دستورات فورا ریست و خالی میشه اما در خصوص دو دستور این موضوع استثناست. هکر با ارسال این دستورات و تنظیم پارامترهای داده به صورت مخرب، باعث سرریزبافر در FDC شده و کنترل پردازش والد (که همون سرور میشه) رو به عهده می‌گیره.
همه چیز به سرریز بافر برمی‌گرده!

اسم این آسیب‌پذیری هم مخفف Virtualized Environment Neglected Operations Manipulationـه که میشه VENOM و به فارسی معنای «زهر و سم مار» میده! (زوری زوری اومدن مخفف درست کنند!!)
 

نصیحت:

این باگ از سال ۲۰۰۴ تا الان (۱۱ سال) وجود داشته. هر چند که به ظاهر این باگ به این راحتی‌ها قابل اکسپلویت نیست اما چک کنید که ماشین مجازی‌ای که از اون استفاده می‌کنید نسبت به این باگ آسیب پذیره یا نه و اگر بود: کافیه که وصله‌ی جدید رو نصب کنید تا خیال‌تون راحت بشه.
 

لینک‌های مفید:

Virtualized Environment Neglected Operations Manipulation
How Poisonous is VENOM (CVE-2015-3456) to your Virtual Environments?
VENOM Vulnerability CVE-2015-3456 Explained (Video)

ترجمه توسط: تمدن

تاریخ ساخت: May 13, 2015 یا ۲۳ اردیبهشت ۱۳۹۴
تاریخ انتشار: May 16, 2015 یا ۲۶ اردیبهشت ۱۳۹۴

این هم از دیاگرام ونوم البته به زبان انگلیسی:

venom-virtualisation-vulnerability-graphic

 

 

0 پاسخ

دیدگاه خود را ثبت کنید

تمایل دارید در گفتگو شرکت کنید؟
نظری بدهید!

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *