Haavoittuvuus virtualisointialustoissa mahdollistaa tietojen paljastumisen

Hollantilaistutkijat ovat julkaisseet hyväksikäyttömenetelmän, joka avulla hyökkääjän on mahdollista saada haltuunsa tai muokata tietoja toisen, samalla palvelimella toimivan, virtualisoidun asiakaskoneen muistista.

Tutkijoiden Flip Feng Shui (FFS) -haavoittuvuudeksi nimeämän menetelmän avulla virtuaalipalvelimen muiden asiakaskoneiden muistista on mahdollista saada tietoja, mikäli koneet ovat hyökkääjän hallitseman virtuaalikoneen kanssa samalla fyysisellä virtuaalipalvelimella.

Haavoittuvuuden hyväksikäyttö edellyttää, että virtuaalipalvelin käyttää muistisivujen yhdistämistä (deduplication). Tietojen muokkaamisen edellytyksenä on lisäksi Rowhammer-haavoittuvuuden hyväksikäyttö.

Tutkijat ovat esittäneet menetelmän, jolla uhrikone saadaan luottamaan hyökkääjän väärentämään SSH-kirjautumisavaimeen tai Linux-jakelupakettien allekirjoittamiseen käytettyyn avaimeen. Vastaavasti uhrikone voidaan saada lataamaan päivityspaketit hyökkääjän hallitsemasta lähteestä.

Muistisivujen yhdistämisestä käytetään erilaisia termejä eri järjestelmissä, kuten esimerkiksi Kernel same-page merging, Transparent page sharing, Content-based deduplication, Page fusion ja Memory sharing.

Haavoittuvuus on esitelty lyhyesti Vrije Universiteit Amsterdamin sivulla ja laajemmin tutkimusraportissa.

NCSC-NL on ilmoittanut haavoittuvuudesta seuraaville valmistajille: Red Hat, Oracle, Xen, VMware, Debian, Ubuntu, OpenSSH, GnuPG, sekä joillekin virtuaalipalveluita tarjoaville yrityksille.

NCSC-NL on julkaissut ohjeistuksen virtualisoinnissa huomioon otettavista asioista, sekä kysymyksiä ja vastauksia -dokumentin FFS-haavoittuvuuteen liittyen.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset
Lisätietoa +

Hyökkäystapa

  • Paikallisesti
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Tietojen muokkaaminen
  • Luottamuksellisen tiedon hankkiminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Ongelman rajoittaminen
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

  • Kaikki virtualisointialustat, joissa on käytössä vieraskoneiden välinen muistisivujen yhdistäminen.

Ratkaisu- ja rajoitusmahdollisuudet:

  • Haavoittuvuuden hyväksikäytön voi estää poistamalla virtualisointialustan muistisivujen yhdistämisen käytöstä.
  • Useissa palvelinlaitteistoissa käytetty virheenkorjaava ECC-muisti rajoittaa jossain määrin Rowhammer-haavoittuvuuden käyttöä, mutta ei välttämättä estä sitä täydellisesti.
  • VMware on käsitellyt muistisivujen yhdistämistä aiempiin haavoittuvuuksiin liittyvissä tiedotteissaan 2091682, 2080735 ja 2097593. Tiedotteissa on esitelty ominaisuus, joka estää eri virtuaalikoneiden välisen muistisivujen yhdistämisen.

Lisätietoa:


Päivityshistoria

Asiasanat: Tietoturva , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248