Уязвимости в гипервизоре Xen, позволяющие выйти за пределы гостевого окружения

03.05.2017 12:12

В гипервизоре Xen выявлены три уязвимости (XSA-213, XSA-214 и XSA-215), каждая из которых позволяет выйти за пределы текущего гостевого окружения. Уязвимости также могут использоваться для обхода механизмов изоляции в ОС Qubes. Проблемы выявлены исследователями безопасности из группы Zero, созданной компанией Google для предотвращения атак, совершаемых с использованием ранее неизвестных уязвимостей.

Исправления пока доступны в виде патчей. CVE-идентификатор пока не присвоен. Некоторые провайдеры публичных облачных систем были уведомлены о проблеме две недели назад и уже устранили уязвимость. Всем пользователям Xen и провайдерам, не включённым в список упреждающей отправки уведомлений, рекомендуется срочно установить обновление. Для эксплуатации всех уязвимостей атакующий должен иметь доступ к выполнению кода в гостевой системе с правами ядра. В качестве обходного пути можно блокировать поддержку загрузки модулей ядра и других механизмов, позволяющих выполнить код на уровне ядра гостевой ОС.

Наиболее опасной из трёх уязвимостей является XSA-213, которая позволяет совершить атаку на хост-систему из любого 64-разрядного гостевого окружения, работающего в режиме паравиртуализации (PV). В результате атаки через манипуляцию с гипервызовом (hypercall) IRET злоумышленник может добиться изменения таблиц страниц памяти и получить доступ ко всей памяти хост-системы. Уязвимость проявляется только на системах x86_64. Платформа ARM, а также 32-разрядные гостевые системы и окружения режиме HVM данной проблеме не подвержены.

Уязвимость XSA-213 отмечается как одна из самых серьёзных ошибок в Xen за последние 8 лет (до этого было выявлено всего 3 ошибки подобного уровня - XSA-148, XSA-182 и XSA-212). Важность проблемы также усугубляет возможность применения стабильно работающего эксплоита, не требующего каких-то особых условий для атаки. Прототип эксплоита уже подготовлен, но не опубликован в открытом доступе. PV-окружения теперь рассматриваются проектом Qubes как ненадёжные и в следующем выпуске Qubes 4.x планируется полностью перейти на окружения в режиме полной изоляции (HVM).

Что касается остальных проблем, то эксплуатация уязвимости XSA-214 требует наличия контроля за двумя разными гостевыми системами, например, одним в режиме PV и одним в режима HVM, или одним 32-разрядным PV и одним 64-разрядным PV. Проблема XSA-215 затрагивает только хост-системы с очень большим объёмом памяти, от 3.5 Тб или 5 Тб ОЗУ, в зависимости от настроек.

исправить +10 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/46493-xen

Ключевые слова: xen

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (21)

1.3, Аноним (-), 13:55, 03/05/2017 [ответить] [﹢﹢﹢] [ · · · ]	–5 +/–
Именно и только поэтому мы выбираем kvm, а не xen.

2.5, iCat (ok), 13:59, 03/05/2017 [^] [^^] [^^^] [ответить]	+4 +/–
KVM неуязвим! Пруфы: https://goo.gl/TDQPtw

3.10, Аноним (-), 16:52, 03/05/2017 [^] [^^] [^^^] [ответить]	–2 +/–
Уязвимость в xen страшнее чем в kvm.

4.14, нах (?), 17:52, 03/05/2017 [^] [^^] [^^^] [ответить]	+/–
да он вообще страшнее!

1.13, Аноним (-), 17:07, 03/05/2017 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Странно, что в Debian jessie ещё прошлую до сих пор не пофиксили. https://www.opennet.ru/opennews/art.shtml?num=46322

1.15, Нанобот (ok), 18:49, 03/05/2017 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
>PV-окружения теперь рассматриваются проектом Qubes как ненадёжные и в следующем выпуске Qubes 4.x планируется полностью перейти на окружения в режиме полной изоляции (HVM). В xen PV безопасность обеспечивается открытым кодом, в HVM - проприетарным микрокодом процессора. В упор не догоню, почему первое считают небезопасным, а второе - безопасным. По-моему вероятность допустить ошибку приблизительно одинакова. Или считают, что закрытый код более безопасный?

2.17, Stax (ok), 20:30, 03/05/2017 [^] [^^] [^^^] [ответить]	–1 +/–
Этого микрокода относительно мало (относительно объема кода для PV), поэтому и доверия ему больше. А баги там, конечно, были, но в целом их выловили за годы существования технологии.

3.23, Ingwarr (?), 16:04, 04/05/2017 [^] [^^] [^^^] [ответить]	+1 +/–
Вы явный оптимист:) Были, есть и будут!!! Мало того если мы их вычислим при взаимодействии с какой либо крупной конторой, скажем при адаптации их оборудования под устанавливаемую нами инфраструктуру мы тут-же попадаем под неразглашение, и таких случаев немало. У них тоже сроки, костыли, и попытки за счет прошивки покрыть глюки в железе, чтобы производственную линию не переделывать(Читаем Брукса, ничего, ничего не изменилось за почти пол-века), а как патчатся сами прошивки, если за уязвимость не могут подать в суд, тоже отдельная история с мифологией. Я думаю многие мои коллеги могли бы выдать кучу подробностей, так что не идеализируйте :)

1.18, PnDx (ok), 20:33, 03/05/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
"PV-окружения теперь рассматриваются проектом Qubes как ненадёжные и в следующем выпуске Qubes 4.x планируется полностью перейти на окружения в режиме полной изоляции (HVM)." Хе-хе. Что-то Яну занесло. В довесок получить весь долбаный legacy из qemu? Пример: посмотрите на реализацию i8042 (если не вру). Что там в прошлый раз было? Флоповод? Часики (на которые hwclock смотрит) на очереди. (Qemu не виноват, что его назначили промышленным гипервизором, не вычистив код. Но результаты расхлёбываю в т.ч. я.)

2.21, Аноним (-), 08:25, 04/05/2017 [^] [^^] [^^^] [ответить]	+/–
Флопповод на i8042? Насколько помню, контроллер FDD это i82077.

1.19, Аноним (-), 22:29, 03/05/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А разве в Qubes приложения в PV запускаются от рута? Насколько я понял, XSA-213 и XSA-214 работают только если есть возможность загрузить собственный специально подготовленный модуль ядра.

2.20, Аноним (-), 08:09, 04/05/2017 [^] [^^] [^^^] [ответить]

+/–

> А разве в Qubes приложения в PV запускаются от рута? Насколько я
> понял, XSA-213 и XSA-214 работают только если есть возможность загрузить собственный
> специально подготовленный модуль ядра.

Если честно, я тоже не совсем понял смысл фразы Рутковской: "This means that if an attacker has already exploited another vulnerability, e.g. in a Web browser or networking or USB stack, then the attacker would be able to compromise a whole Qubes system."

Про системные стеки понятно, но и вероятность атаки через них минимальна, но вот почему она упоминает Web Browser, который явно под обычным пользователем запускается.

3.22, Аноним (-), 08:59, 04/05/2017 [^] [^^] [^^^] [ответить]

–1 +/–

>Про системные стеки понятно, но и вероятность атаки через них минимальна, но вот почему она упоминает Web Browser, который явно под обычным пользователем запускается.

Потому что только школьники считают, что браузер не ломается. Или не ломается он _только_ под линуксом.

Все правильно она делает. После получения доступа на систему под обычным пользователем, вопрос получения рута вопрос времени.

4.28, Аноним (-), 08:16, 07/05/2017 [^] [^^] [^^^] [ответить]

–1 +/–

> Все правильно она делает. После получения доступа на систему под обычным пользователем,
> вопрос получения рута вопрос времени.

И как это вы получите рута в полупустом контейнере на обновлённой системе, в котором нет привилегированных процессов? Чтобы получить рута в системе из контейнера как минимум нужен root в контейнере, а в контейнере с браузром только работающий под обычным пользователем браузер.

3.26, Ordu (ok), 22:58, 05/05/2017 [^] [^^] [^^^] [ответить]	–1 +/–
> Про системные стеки понятно, но и вероятность атаки через них минимальна, но вот почему она упоминает Web Browser, который явно под обычным пользователем запускается. Потому, что -- сюрприз -- Рутковски не доверяет разграничениям доступа для процессов, которые предоставляет ОС. Это её парадигмальная установка. Если бы она доверяла, она бы не стала пилить Qubes, но организвала бы всё на этом разграничении: ведь нет никаких проблем с тем, чтобы создать по отдельному пользователю для каждого процесса.

3.27, adfsa (?), 08:03, 07/05/2017 [^] [^^] [^^^] [ответить]	+/–
потому что в qubes нет паролья на sudo по-умолчанию

4.29, Аноним (-), 08:18, 07/05/2017 [^] [^^] [^^^] [ответить]	+1 +/–
> потому что в qubes нет паролья на sudo по-умолчанию вы qubes c чем-то путайте.

1.24, fa (??), 10:00, 05/05/2017 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Интересно, что делает Amazon, когда появляются такие новости. Обновляют, перезагружают все свои датацентры?

2.25, PnDx (ok), 11:05, 05/05/2017 [^] [^^] [^^^] [ответить]	+/–
±Вот это https://support.citrix.com/article/CTX132791

2.30, нах (?), 15:11, 10/05/2017 [^] [^^] [^^^] [ответить]	–1 +/–
то же, что и когда "такие" не появляются - да, обновляют, штатная процедура. Содержимое при перезагрузке конкретной ноды - мигрирует, поэтому юзер ничего, обычно, не замечает - у него-то ничего не обновляется. Чего удивительного-то?

2.31, Аноним (-), 03:49, 15/05/2017 [^] [^^] [^^^] [ответить]	+/–
В общем-то да, у них явно есть live migration. Дайунтайм будет минимальным.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: