VENOM云漏洞因为赶上了近来漏洞问题大盛的趋势,从而引起了媒体的更多关注。但是,它是否是一个宣告互联网时代终结的漏洞,还是只不过是一个貌似严重但实际影响不大的问题呢?
VENOM的全称是虚拟化环境中被忽视的业务操作篡改,它利用虚拟机中虚拟软盘驱动器代码的漏洞允许攻击者突破客户操作系统从而主机。
这有可能给业界带来一个巨大的影响,因为云供应商们都依靠虚拟平台来提供他们的云能力,而大多数企业也是使用虚拟机来交付他们很大一部分的服务器的。跳出客户操作系统进入主机的能力让攻击者能够访问其他的虚拟机,甚至是云环境中大量其他组织的机器。这就有可能导致高度敏感信息的泄露——这主要取决于云中存储的是什么样的信息——这将使企业用户对云安全的信心受到较大影响。
但是,待云漏洞事件被曝光且各种尘嚣落定之后,我们也就得以更好地对其长期影响做出评估。
首先,让我们来看看云服务供应商。
云供应商打补丁都是比较快速的,而这一习惯也被证明是应当VENOM漏洞的正确方法。对于企业用户来说,对他们的具体云进行评估并确保他们的供应商已经安装相关补丁是非常重要的。
VENOM主要影响Xen、VirtualBox和KVM。亚马逊为AWS使用了 Xen管理程序的一个改进版本,并很快就宣布其服务并未收到这次漏洞事件的影响;微软Azure也同样没有受到影响。其他诸如Rackspace和IBM 这样的主流云供应商也为他们的系统打好了补丁。很多供应商在漏洞详细信息被披露之前就已经完成了补丁升级工作;而其他供应商也都在一周内完成了打补丁。
在企业网络中,云补丁管理流程并不是由云供应商管理的;因此,黑客更有机会能够找到未打补丁的系统。企业组织需要确保他们的虚拟机是在他们的补丁策略控制之下的,如果不是这样,那么应使用针对受影响服务的补丁作为一种应急响应。但是,攻击范围减少了,这是因为潜在的攻击者被限制在能够访问企业内部网络的人员中了。
另一个需要提及限制了漏洞影响范围的关键细节就是要求攻击者不仅要登陆客户操作系统,而且还要拥有root级别的访问权限。在一个企业环境中,这一级别的权限只会被授予最有可能访问主机操作系统的系统管理员。为了在这样一个应用场景下让VENOM发挥作用,就需要运行内核级的漏洞利用以便提升权限。但是,在云环境中,最有可能的情况就是攻击者注册一个云服务并获得他们自己的Linux机器(他们将拥有root访问权限),进而使用这个机器开始发动攻击。
总之,VENOM是一个有趣的云漏洞,它验证了责任披露和高效云补丁管理的价值所在。在把漏洞发现公之于众之前把相关信息通报给主流供应商让他们有机会在漏洞被利用前为云打好补丁。
幸运的是,这个漏洞对企业组织的影响相对较小,只涉及为内部虚拟机做好补丁升级工作,并确保云供应商使用了补丁升级程序。从此次事件中出现的主要问题是,虚拟机管理程序并不如我们所希望的那样安全,需要投入更多的研究力量以确保没有更严重的安全漏洞会被利用。