VENOM云漏洞因為趕上了近來漏洞問題大盛的趨勢,從而引起了媒體的更多關注。但是,它是否是一個宣告互聯網時代終結的漏洞,還是只不過是一個貌似嚴重但實際影響不大的問題呢?
VENOM的全稱是虛擬化環境中被忽視的業務操作篡改,它利用虛擬機中虛擬軟盤驅動器代碼的漏洞允許攻擊者突破客戶操作系統從而主機。
這有可能給業界帶來一個巨大的影響,因為云供應商們都依靠虛擬平臺來提供他們的云能力,而大多數企業也是使用虛擬機來交付他們很大一部分的服務器的。跳出客戶操作系統進入主機的能力讓攻擊者能夠訪問其他的虛擬機,甚至是云環境中大量其他組織的機器。這就有可能導致高度敏感信息的泄露——這主要取決于云中存儲的是什么樣的信息——這將使企業用戶對云安全的信心受到較大影響。
但是,待云漏洞事件被曝光且各種塵囂落定之后,我們也就得以更好地對其長期影響做出評估。
首先,讓我們來看看云服務供應商。
云供應商打補丁都是比較快速的,而這一習慣也被證明是應當VENOM漏洞的正確方法。對于企業用戶來說,對他們的具體云進行評估并確保他們的供應商已經安裝相關補丁是非常重要的。
VENOM主要影響Xen、VirtualBox和KVM。亞馬遜為AWS使用了 Xen管理程序的一個改進版本,并很快就宣布其服務并未收到這次漏洞事件的影響;微軟Azure也同樣沒有受到影響。其他諸如Rackspace和IBM 這樣的主流云供應商也為他們的系統打好了補丁。很多供應商在漏洞詳細信息被披露之前就已經完成了補丁升級工作;而其他供應商也都在一周內完成了打補丁。
在企業網絡中,云補丁管理流程并不是由云供應商管理的;因此,黑客更有機會能夠找到未打補丁的系統。企業組織需要確保他們的虛擬機是在他們的補丁策略控制之下的,如果不是這樣,那么應使用針對受影響服務的補丁作為一種應急響應。但是,攻擊范圍減少了,這是因為潛在的攻擊者被限制在能夠訪問企業內部網絡的人員中了。
另一個需要提及限制了漏洞影響范圍的關鍵細節就是要求攻擊者不僅要登陸客戶操作系統,而且還要擁有root級別的訪問權限。在一個企業環境中,這一級別的權限只會被授予最有可能訪問主機操作系統的系統管理員。為了在這樣一個應用場景下讓VENOM發揮作用,就需要運行內核級的漏洞利用以便提升權限。但是,在云環境中,最有可能的情況就是攻擊者注冊一個云服務并獲得他們自己的Linux機器(他們將擁有root訪問權限),進而使用這個機器開始發動攻擊。
總之,VENOM是一個有趣的云漏洞,它驗證了責任披露和高效云補丁管理的價值所在。在把漏洞發現公之于眾之前把相關信息通報給主流供應商讓他們有機會在漏洞被利用前為云打好補丁。
幸運的是,這個漏洞對企業組織的影響相對較小,只涉及為內部虛擬機做好補丁升級工作,并確保云供應商使用了補丁升級程序。從此次事件中出現的主要問題是,虛擬機管理程序并不如我們所希望的那樣安全,需要投入更多的研究力量以確保沒有更嚴重的安全漏洞會被利用。
京公網安備 11010502049343號