'Venom' Sicherheitslücke: Schwerwiegender Computer-Bug zerbricht Cloud-Sicherheit

'Venom' Sicherheitslücke: Schwerwiegender Computer-Bug zerbricht Cloud-Sicherheit
Diese Geschichte erschien ursprünglich im Fortune Magazine In einigen meilenweit entfernten Rechenzentren läuft möglicherweise ein Teil Ihres cloudbasierten Netzwerks dasselbe System wie das eines anderen. Normalerweise ist das kein Problem. Sogenannte virtuelle Maschinen - im Grunde genommen Computer, die in anderen Computern simuliert werden - verhindern, dass sich Netzwerke auf derselben Maschine gegenseitig beeinflussen.
Diese Geschichte erschien ursprünglich im Fortune Magazine

In einigen meilenweit entfernten Rechenzentren läuft möglicherweise ein Teil Ihres cloudbasierten Netzwerks dasselbe System wie das eines anderen.

Normalerweise ist das kein Problem. Sogenannte virtuelle Maschinen - im Grunde genommen Computer, die in anderen Computern simuliert werden - verhindern, dass sich Netzwerke auf derselben Maschine gegenseitig beeinflussen. Sie sind eine effiziente Methode, um große Mengen von Computerressourcen zu verwalten und sie gleichzeitig isoliert und sicher zu halten.

Das ist nicht die ganze Geschichte, sagen die Forscher des in Irvine, Kalifornien, ansässigen Sicherheitsunternehmens Crowd Strike. Es stellt sich heraus, dass ein Angreifer aus bestimmten virtuellen Maschinen ausbrechen und manipulieren kann, was auch immer nebenan läuft, was die Vorstellung zerstört, dass diese Schiffe harte und schnelle, schützende Grenzen haben.

"Dies zerstört den Isolationsmythos, dass man etwas laufen lassen kann eine virtuelle Maschine und lassen Sie es von allem anderen isoliert werden, & rdquo; sagt Jason Geffner, der leitende Sicherheitsforscher von CrowdStrike, der den Fehler aufgedeckt hat. "Mit diesem Fehler können Sie einen Container verlassen und in alle anderen Container gelangen."

Am Mittwochmorgen kündigte das Team von Geffner die Entdeckung einer Zero-Day-Schwachstelle an, was einen bisher unbekannten Computerfehler innerhalb einer gemeinsamen virtuellen Maschinenplattform bedeutet . Der Bug, genannt Venom für "virtualisierte Umgebung vernachlässigte Operationen Manipulation, & rdquo; wirkt sich auf eine Technologie aus, die technisch als Hypervisor bezeichnet wird und die auf einem System ausgeführten virtuellen Maschinen steuert und koordiniert.

Die Sicherheitslücke betrifft insbesondere den zehn Jahre alten freien und quelloffenen Hypervisor Quickemulator (QEMU), der in einem Anzahl gängiger Virtualisierungsprodukte, einschließlich Xen-Hypervisor, KVM (oder "kernelbasierte virtuelle Maschine"), Oracle VM VirtualBox und des nativen QEMU-Clients. Die beliebten Produkte von EMC-eigenen VMWare und Microsoft Hyper-V sind dagegen nicht betroffen.

Verschiedene Sicherheitsprodukte basieren auch auf der anfälligen Technologie, um Malware zu isolieren und zu inspizieren - ein potenziell gefährliches Angebot, da bestimmte virtuelle Maschinen, wie jetzt gezeigt, auslaufen können.

"Auch wenn Sie diese Dienste nicht direkt nutzen, sind die Chancen groß Diese Konten, auf denen Ihre persönlichen Daten gespeichert sind, führen diese Produkte aus, & rdquo; Geffner sagt. Tatsächlich schätzt CrowdStrike, dass der Fehler Tausende von Organisationen und Millionen von Benutzern gefährden könnte.

"Mit Venom können Sie aus einer virtuellen Maschine auf einem System ausbrechen und Zugriff auf andere Daten erhalten Netzwerk des Systems, & rdquo; Geffner sagt und fügt hinzu, dass Angreifer es benutzen können, um "den Code auszuführen, den sie mögen" und "rdquo; durch Überschreiben kritischer Teile des Maschinenspeichers.

Was heißt das genau? Um eine vertrautere Analogie zu verwenden: Stellen Sie sich ein Wohnhaus vor. Das ist ein Cloud-Server für unsere Zwecke. Stellen Sie sich nun die in diesem Wohnhaus enthaltenen Wohnungen vor. Diese repräsentieren virtuelle Maschinen. Während verschiedene Wohnungen Ressourcen wie Wasser, Strom, Heizung und Gas gemeinsam nutzen können - alle in diesem Fall von einem Cloud-Infrastrukturanbieter verwaltet - sind alle gesperrt und können nicht aufeinander zugreifen.

Was Geffner effektiv gefunden hat, ist eine Hintertür: ein gemeinsamer Schlüssel, der jede Wohnung freischaltet.

Dmitri Alperovitch, der Chief Technology Officer und Mitbegründer von Crowd Strike, sagt, dass es ein besonders schlechter Bug ist. Er vergleicht Venom mit anderen kürzlich entdeckten Schwachstellen mit hohen Profilen wie "Heartbleed & rdquo; und & amp;; Shellshock, & rdquo; und sagt, "das ist möglicherweise viel schlimmer, & rdquo; gegeben, wie sehr ein Angreifer einen Kompromiss eingehen kann. Im Gegensatz zu diesen anderen Fehlern, sagt er, läuft Venom eher auf Systemen mit root-level-Zugriff oder erhöhten administrativen Privilegien, was einem Angreifer vollständigen Zugriff auf ein ganzes System und nicht nur auf eine einzige Anwendung ermöglicht.

& quot; Der Einfluss von Heartbleed ist vergleichbar mit jemandem, der in der Lage ist, zu deinem Haus zu gehen und durch das Fenster zu schauen, und Shellshock, lass uns sie ins Haus bringen und den Fernseher herausnehmen, & rdquo; Alperovitch sagt, "mit Gift kann jemand nicht nur in dein Haus kommen und den Fernseher nehmen, sie können auch deinen Safe nehmen, deinen Schmuck stehlen und in das Haus des Nachbarn gelangen."

Interessanterweise wirkt Venom fast vollständig Unbenutzte Komponente des QEMU-Hypervisors: der Disketten-Controller. (Damit virtuelle Maschinen wie physische Maschinen funktionieren und auf denen Betriebssysteme ausgeführt werden, benötigen sie Code, der mit allen Teilen eines tatsächlichen Systems kommunizieren kann, auch wenn es sich um veraltete Artefakte handelt.) Die Schwachstelle scheint durchgerutscht zu sein Die Risse, als sich niemand auf die Sicherheit dieses vernachlässigten Gebietes konzentrierte.

Dan Kaminsky, ein Sicherheitsforscher und Mitbegründer und Chefwissenschaftler der Sicherheitsfirma White Ops, der während CrowdStrikes Zeit der verantwortlichen Offenlegung über den Fehler befragt wurde Ab Ende April spielt es etwas kühler. "Diese passieren von Zeit zu Zeit, & rdquo; er sagt. "Es ist nicht das erste und es wird nicht das letzte sein."

Geprägt von ähnlichen ähnlichen Sicherheitslücken wie Venom, Kaminsky demurs. & quot; None, die öffentlich sprechen können. & rdquo; Er hält inne. Dann qualifiziert sich seine Einschätzung, indem er einen Superlativ hinzufügt: "Dies ist der allgemeinste dieser Fehler, die ich gesehen habe."

"Jeder absorbiert diesen Fehler und niemand dachte daran, es zu auditieren, & rdquo; er sagt. Deshalb, sagt er, ist es wichtig, nach Fehlern in nicht naheliegenden Orten zu suchen. Sein Rat für jeden jetzt? Auf kurze Sicht sagt er: "Wenn Ihr System nicht automatisch patcht, müssen Sie es heute patchen. Wenn es neu gestartet werden muss, muss es heute neu gestartet werden. "

Längerfristig rät er, dass die Leute ihren Cloud-Anbietern möglichst mitteilen sollten, dass sie nur Arbeitsabläufe mit anderen Personen in ihrer Domäne teilen möchten oder Firma. Isolieren Sie Ihre Hardware für sich. "Wenn Sie diese Art von Fehler haben, der von ihrem kleinen Stück eines Servers zu Ihrem kleinen Stück eines Servers springen kann, & rdquo; Kaminsky sagt, & ldquo; der beste Weg, dies zu vermeiden, ist, niemanden auf deinem Server zu haben. & Rdquo;

& quot; Es kostet mehr & & quot; Er sagt, "aber Sie überbieten im Grunde Ihre Angreifer."

Geffner sagt CrowdStrike hat alle großen Software-Anbieter, die diesen anfälligen QEMU-Code verwenden, benachrichtigt und hat mit ihnen gearbeitet, um ihre Löcher zu schließen. Er hat den Fehler bisher noch nicht in der Wildnis ausgenutzt gesehen, obwohl sich das jetzt ändern könnte, nachdem die Nachrichten veröffentlicht wurden.

"Meine Hoffnung und Erwartung ist, dass die Guten ihre Systeme patchern können, bevor die Bösen kommen Zugang zu ihm, & rdquo; Sagt Geffner.