记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

360 Marvel Team虚拟化漏洞第四弹:CVE-2015-8567漏洞分析

2015-12-31 19:05

作者:360 Marvel Team 团队负责人 唐青昊 (新浪微博:SunSky0101;微信:702108451)

2015年是“云跃进”的一年,同样也是虚拟化漏洞真正被人们认知、重视的一年,不甘于“等风来”的360 Marvel Team主动出击,用实际行动为云计算保驾护航。截至今日,我们累计在kvm,xen,vmware平台上公开了高达14枚高危安全0day漏洞,这些漏洞均会导致通用云系统被黑客攻破。

今天,政府、企业、个人都有越来越多的资料信息在云上储存,一旦云系统被攻破,就意味着这些重要的信息会被泄露。黑客利用虚拟化漏洞不但可以偷取到重要信息,甚至可以从一台虚拟机的普通用户发起攻击控制宿主机,最终控制整个云环境的所有用户。

本文为该系列的第四篇文章,也是今年的收官之作,文章将详细分析编号为CVE-2015-8567的qemu内存泄露漏洞的相关知识,该漏洞存在于xen和kvm系统的qemu模块中的vmxnet3网卡组件,黑客在一台虚拟机中利用该漏洞,可以导致同一宿主机上的其他虚拟机崩溃。360 Marvel Team于 10月22日提交该漏洞,官方于12月16号公开了漏洞信息及修复补丁。

1、关于qemu和vmxnet3

QEMU是一款存在于xen和kvm系统中的用以实现设备模拟的软件,它实现了在虚拟机中使用键盘,网络通信,磁盘存储等诸多需要硬件设备参与的功能,并且可模拟的硬件设备类型非常丰富,如它提供了10种以上类型设备的网卡设备模拟组件,包括pcnet,rtl8139,ne2000,eepro100,e1000等。

vmxnet3组件模拟了vmware半虚拟化网卡的功能。可以使用如下命令启动带有vmxnet3网卡模拟功能的虚拟机:

qemu-system-x86_64 -m 2048 -enable-kvm -device vmxnet3 centos-6.5-x64.img

2、CVE-2015-8567漏洞原理分析

我们首先来分析出现CVE-2015-8567漏洞的代码,是在qemu-2.4.0/hw/net/vmxnet3.c中的vmxnet3_handle_command函数当中。该函数会根据cmd数值执行针对网卡的不同操作,如cmd的值等于VMXNET3_CMD_ACTIVATE_DEV时,会进入vmxnet3_activate_device函数执行激活设备的相关逻辑。

图1. vmxnet3_handle_command函数部分内容

当逻辑进入vmxnet3_activate_device函数中,会按照如下3个阶段实现网卡设备激活:

(1)根据配置信息,客户机类型等条件设置设备操作数据,如发送队列数量,接收队列数量;
(2)根据发送队列数量,初始化发送队列的缓冲区;根据初始化队列过程中计算的max_tx_frags值初始化发送数据包;
(3)初始化接收数据包;初始化接收队列的缓冲区。

vmxnet3_activate_device函数的代码截图如下:

图2. vmxnet3_activate_device函数部分内容

在第2阶段中,使用vmxnet_tx_pkt_init函数初始化发送数据包,而在该函数中使用g_malloc分配了长度为max_frags + VMXNET_TX_PKT_PL_START_FRAG的内存空间。相关代码如下图所示:

图3. vmxnet_tx_pkt_init函数部分内容

在整个“激活”逻辑中,缺乏对设备当前状态的判断,因此存在被多次“激活”的风险。简单来说,在vmxnet3_activate_device函数的结尾,设置了s->device_active 的值为true,然而在整个函数中并未检查s->device_active的值是否已经为true,攻击者可以不断通过控制网卡进入“激活”逻辑,从而多次调用g_malloc函数分配内存,直至宿主机系统内存枯竭。

3、漏洞危害&漏洞利用方案

官方关于CVE-2015-8567漏洞危害描述为:虚拟机授权用户利用该漏洞可以泄露宿主机内存,导致拒绝服务。该信息的链接地址为:https://access.redhat.com/security/cve/cve-2015-8567

图4. 官方公布的漏洞描述

360 Marvel Team在发现该漏洞之后,完成了测试环境中的漏洞利用程序。在测试环境中,有多台虚拟机运行在一个宿主机上,黑客位于其中的一台虚拟机,当黑客运行漏洞利用程序之后,经过约40分钟时间,多台虚拟机崩溃。这里将最终的结果截图如下:

图5. 漏洞利用结果截图

4、漏洞修复方案

厂商可以使用打补丁的方式修补该漏洞。官方提供了完整的针对CVE-2015-8567漏洞的补丁,链接为:https://lists.gnu.org/archive/html/qemu-devel/2015-12/msg02299.html。其中增加了前文提到的对s->device_active值的判断(截图如下)。

图6. 官方公布的漏洞补丁部分截图

5、小结:

针对360 Marvel Team独立发现的虚拟化安全漏洞CVE-2015-8567,本文完整分析了漏洞相关的原理,利用方案,危害说明,以及修复方案。希望此文可以引起更多使用公有云和私有云企业的关注,重视虚拟化安全问题。

相关阅读

KVM虚拟化新型漏洞CVE-2015-6815技术分析

360MarvelTeam虚拟化漏洞第二弹:CVE-2015-5279 漏洞分析

360MarvelTeam虚拟化漏洞第三弹:CVE-2015-7504漏洞分析

*作者/360MarvelTeam(企业账号),转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

知识来源: www.freebuf.com/vuls/91603.html

阅读:96540 | 评论:0 | 标签:漏洞 CVE-2015-8567 QEMU 虚拟化

想收藏或者和大家分享这篇好文章→复制链接地址

“360 Marvel Team虚拟化漏洞第四弹:CVE-2015-8567漏洞分析”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云