谷歌 Compute Engine 的虚拟机曝0day未修复,可遭接管
编译:奇安信代码卫士
谷歌 Compute Engine (GCE) 平台受一个未修复的0day 漏洞影响,攻击者可通过网络利用该漏洞接管该平台。
安全研究员 Imre Rad 分析指出,“从目标虚拟机的角度看,模拟元数据服务器即可接管该平台。攻击者可利用该漏洞通过 SSH (公开密钥认证)获得访问权限,从而以 root 用户身份登录。”
GCE 是谷歌 Cloud Platform 的基础设施即服务 (IaaS) 组件,可使用户按需创建并启动虚拟机。GCE 以元数据服务器的形式提供了存储和检索元数据的方法,以键值对的方法提供了设置元数据的中心点,该键值对之后在运行时被提供给虚拟机。
研究员指出,该漏洞是由 ISC DHCP 客户端使用的弱伪随机数造成的,可导致攻击者使用预计算的交易标识符(即 XIDs)构造多个 DHCP 数据包并洪水攻击受害者的 DHCP 客户端,从而最终模拟元数据服务器。
DHCP 是一款网络管理协议,用于在 IP 网络上自动化配置设备。DHCP 服务器会将IP地址和其它网络配置参数动态地分配给网络上的每台客户端设备,以便和其它网络通信。
Rad 在技术write-up 中指出,“如果 XID 是正确的,那么受害者及其会应用网络配置。这是一个竞争条件,但由于洪水攻击快速且耗尽资源,因此元数据服务器并没有真正的胜算机会。此事攻击者需要重新配置受害者的网络栈。”
鉴于元数据服务器可被用于分发并管理 SSH 密钥,客户端(已建立和恶意服务器的 TCP 连接)可检索攻击者的SSH 公钥,之后该公钥被用于以 root 用户身份打开远程 shell。
在潜在的现实场景中,当虚拟机重启时或云平台的防火墙被关闭,之前提及的攻击链可被攻击者用于获取目标虚拟机的完整访问权限。
补丁尚未发布
2020年9月27日,研究员将漏洞告知谷歌,后者证实了漏洞存在并表示发现该漏洞的研究员做得很出色,但尚未推出补丁也并未说明何时提供修复方案。
Rad 表示,“在修复方案发布前,不要使用 DHCP 或设置主机级别的防火墙规则,以确保 DHCP 通信源自元数据服务器 (169.254.169.254)。拦截虚拟机之间的 UDP/68,这样只有元数据服务器能够执行 DHCP。“
Rad 曾多次发现谷歌云平台中的漏洞。
2020年9月,谷歌修复了 OS Config 工具中的一个本地提权漏洞,能够在受影响 GCE 虚拟机上执行代码的攻击者能够执行越权操作。
今年1月份,Rad 发现还可以获取 Cloud SQL 数据库上的 shell,从而在虚拟机上执行任意代码。谷歌已于2021年2月15日修复该漏洞。
Linux 应用市场易受RCE和供应链攻击,多个0day未修复
立即更新 Chrome 浏览器!这个 0day 已遭在野利用
苹果修复老旧设备中的两个 iOS 0day
https://thehackernews.com/2021/06/unpatched-virtual-machine-takeover-bug.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。