WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Xen vá lỗ hổng tồn tại 7 năm trong chương trình quản lý máy ảo
Trong bảy năm qua, phần mềm ảo hóa Xen được sử dụng bởi Amazon Web Services và các nhà cung cấp điện toán đám mây chứa lỗ hổng cho phép tin tặc truy cập vào các thông tin cực kỳ nhạy cảm của hệ điều hành. Lỗ hổng, được cho là tồi tệ nhất của Xen, được công bố hôm thứ Năm vừa rồi cùng bản vá.
Trong một thông báo của mình, Xen cho biết, bằng cách khai thác lỗ hổng, quản trị máy khách PV độc hại có thể leo thang đặc quyền để kiểm soát toàn bộ hệ thống. Thông báo cũng nhắc đến phương pháp paravirtualization (ảo hóa song song) cho phép quản lý và chạy nhiều server ảo cùng một lúc. Bằng cách cho phép máy khách thoát khỏi giới hạn, lỗ hổng này, CVE-2015-7835 phá hoại nguyên lý cốt lõi của công nghệ ảo hóa.
Trước đó, các nhà quản lý dự án Xen đã cảnh báo một nhóm các thành viên về việc công bố lỗ hổng. Điều đó có nghĩa là Amazon và nhiều dịch vụ đám mây khác đã vá lỗ hổng. Điều này cũng giải thích tại sao một số dịch vụ mới đây yêu cầu khách hàng phải khởi động lại hệ điều hành máy khách. Ví dụ, hai tuần trước thành viên của Linode, công ty điện toán đám mây nhận được e-mail từ Xen yêu cầu khởi động lại máy trước ngày 29/10. Trong khi đó, Amazon cho biết bản cập nhật không cần khởi động lại.
"Không thể tin được"
Các nhà nghiên cứu về Qubes OS, hệ điều hành sử dụng nền tảng Xen để bảo vệ các dữ liệu nhạy cảm, chỉ trích quá trình phát triển đã để cho một lỗi có mức độ nghiêm trọng cao tồn tại trong một thời gian dài như vậy. Họ cũng đưa ra vấn đề đã đến lúc các nhà phát triển của Xen thiết kế lại phần mềm điều khiển môi trường ảo hóa để gỡ bỏ các máy ảo song song. Các nhà nghiên cứu về Qubes cho biết:
Phải thừa nhận rằng đây là một lỗi rất tinh vi, vì không có mã bị lỗi để có thể phát hiện ra ngay lập tức.
Mặt khác, thật không thể tin được khi một lỗi như vậy đã tồn tại trong lõi của hypervisor trong nhiều năm. Theo ý kiến của chúng tôi Xen nên xem lại các nguyên tắc lập trình của họ và có lẽ cả các cơ chế bổ sung để không xảy ra lỗi tương tự như vậy. Nếu không thì dự án không có ý nghĩa gì nữa, ít nhất là với những người muốn sử dụng Xen vì những việc nhạy cảm.
Lỗ hổng ảnh hưởng đến Xen từ phiên bản 3.4 trở đi, nhưng chỉ trên các hệ thống x86. Hệ thống ARM không mắc lỗi này. Chỉ các máy khách ảo hóa song song có thể khai thác lỗi, không cần biết máy khách đang chạy trường 32-bit hay 64-bit. Vì lỗ hổng này đã được công khai, các hệ thống chưa được vá sẽ bị khai thác. Bất cứ ai sử dụng Xen chưa được cập nhật nên cài đặt bản vá càng sớm càng tốt.
Theo Ars Technica
Trong một thông báo của mình, Xen cho biết, bằng cách khai thác lỗ hổng, quản trị máy khách PV độc hại có thể leo thang đặc quyền để kiểm soát toàn bộ hệ thống. Thông báo cũng nhắc đến phương pháp paravirtualization (ảo hóa song song) cho phép quản lý và chạy nhiều server ảo cùng một lúc. Bằng cách cho phép máy khách thoát khỏi giới hạn, lỗ hổng này, CVE-2015-7835 phá hoại nguyên lý cốt lõi của công nghệ ảo hóa.
Trước đó, các nhà quản lý dự án Xen đã cảnh báo một nhóm các thành viên về việc công bố lỗ hổng. Điều đó có nghĩa là Amazon và nhiều dịch vụ đám mây khác đã vá lỗ hổng. Điều này cũng giải thích tại sao một số dịch vụ mới đây yêu cầu khách hàng phải khởi động lại hệ điều hành máy khách. Ví dụ, hai tuần trước thành viên của Linode, công ty điện toán đám mây nhận được e-mail từ Xen yêu cầu khởi động lại máy trước ngày 29/10. Trong khi đó, Amazon cho biết bản cập nhật không cần khởi động lại.
"Không thể tin được"
Các nhà nghiên cứu về Qubes OS, hệ điều hành sử dụng nền tảng Xen để bảo vệ các dữ liệu nhạy cảm, chỉ trích quá trình phát triển đã để cho một lỗi có mức độ nghiêm trọng cao tồn tại trong một thời gian dài như vậy. Họ cũng đưa ra vấn đề đã đến lúc các nhà phát triển của Xen thiết kế lại phần mềm điều khiển môi trường ảo hóa để gỡ bỏ các máy ảo song song. Các nhà nghiên cứu về Qubes cho biết:
Phải thừa nhận rằng đây là một lỗi rất tinh vi, vì không có mã bị lỗi để có thể phát hiện ra ngay lập tức.
Mặt khác, thật không thể tin được khi một lỗi như vậy đã tồn tại trong lõi của hypervisor trong nhiều năm. Theo ý kiến của chúng tôi Xen nên xem lại các nguyên tắc lập trình của họ và có lẽ cả các cơ chế bổ sung để không xảy ra lỗi tương tự như vậy. Nếu không thì dự án không có ý nghĩa gì nữa, ít nhất là với những người muốn sử dụng Xen vì những việc nhạy cảm.
Lỗ hổng ảnh hưởng đến Xen từ phiên bản 3.4 trở đi, nhưng chỉ trên các hệ thống x86. Hệ thống ARM không mắc lỗi này. Chỉ các máy khách ảo hóa song song có thể khai thác lỗi, không cần biết máy khách đang chạy trường 32-bit hay 64-bit. Vì lỗ hổng này đã được công khai, các hệ thống chưa được vá sẽ bị khai thác. Bất cứ ai sử dụng Xen chưa được cập nhật nên cài đặt bản vá càng sớm càng tốt.
Theo Ars Technica