企业家的奥秘: 关于创业的5个常见误区 两名妇女开办学校教人们如何成人 如何在9比5的工作中启动您的创业公司 4种方法来决定你是否应该追求你的创业理念 引导最聪明的方式 在与投资者建立联系之前,您必须做的10件事 热情的企业家即使在袜子行业也能找到成功 2021年中小企业数字化赋能系列活动数字赋能融合发展论坛成功召开 6辞职成为企业家的强大好处 研究: 企业选择自由职业者来逃避医疗费用 您是否有能力使您的承包业务取得成功? 停止抱怨,开始胡搞 在前100天获得动力。否则。 你有专业知识让你的承包业务取得成功吗? 鲨鱼坦克的戴蒙德·约翰 (Daymond John) 说,您必须做的3件事可以帮助您的初创公司生存 两小时销售1817万!江西“百县百日”文旅消费季 直播带货大赛正式拉开帷幕 您的公司在启动时可以做的4件事 在您的业务启动前几个月建立炒作的7种方法 你讨厌的朝九晚五的工作并不像你想象的那么安全 购物特许经营时首先要寻找什么 这家公司如何在赚钱的同时有所作为 建立6位数咨询的5个步骤 教练是完美的个人业务的8个原因 党日活动--观看抗美援朝电影《长津湖》 在线课程可能没有您希望的那么有价值 为什么逆戟鲸岛出租车从一个小岛上获得大笔生意 美国各地的社区都在利用企业家精神来推动增长 这是一项6位数的服务业务,您可以以低于100美元的价格开始 企业家应该总是涉足副业。这就是原因。 研究商机时要考虑什么 在为公司聘请公司法律顾问之前,您需要的4个答案 大便! 一个创业故事被释放了。 从员工到所有者转变思维的8种方法 3种类型的体验将帮助你的创业成功 你需要知道的关于打入视频游戏行业的一切 破解App Store代码的5种方法 想成为一名成功的企业家吗?做你知道的。 从他的公寓里打乱一个沉睡的巨人 利基微型公司将如何统治商业世界 帮助您的公司避免顶级创业杀手的4种策略 您的商业贷款被拒绝的8个原因 我从指导世界上最好的加速器的初创公司中学到的东西 如何将你的爱好变成有利可图的商业冒险 最大的公司名称更改 (信息图) 如何找到您的电子商务业务利基 初创公司可以从数字化转型中学到的5件事 战时企业家的生活故事 如何确定您的医疗索赔计费服务的最佳市场 大多数初创公司都知道不会犯的明显错误 (但无论如何还是会犯) 如何找到你有利可图的想法
您的位置:首页 >热点 >

“毒液” 漏洞: 严重的计算机错误破坏了云安全

2021-09-14 12:11:42 来源:

在几英里外的某些数据中心内,您的云托管网络的一部分可能与其他人在同一系统上运行。

通常,这不是问题。所谓的虚拟机-基本上是在其他计算机中模拟的计算机-防止同一台计算机上的网络相互影响。它们是管理大量计算资源的一种有效方法,同时大概可以使它们保持隔离和安全。

总部位于加利福尼亚州欧文的安全公司CrowdStrike的研究人员说,这并不是全部。事实证明,攻击者可以从某些虚拟机中爆发并操纵相邻运行的任何东西,从而打破了这些船只具有坚硬而快速的保护性边界的观念。

CrowdStrike的高级安全研究员杰森·格夫纳 (Jason Geffner) 发现了该漏洞,他说: “这破坏了隔离神话,即您可以让某些东西运行虚拟机,并将其与其他所有东西隔离开来。”“这个错误可以让你逃离一个容器,进入所有其他容器。”

周三上午,Geffner的团队宣布在通用虚拟机平台中发现了一个零日漏洞,这意味着以前未知的计算机错误。dubbedVenomfor “虚拟化环境被忽视的操作操作” 的错误影响了一种技术,在技术上被称为管理程序,该技术控制和协调系统上运行的虚拟机。

该漏洞特别影响了已有十年历史的免费开源管理程序,称为快速仿真器 (QEMU),该程序用于许多常见的虚拟化产品,包括Xen管理程序、KVM (或 “基于内核的虚拟机”) 、Oracle VM VirtualBox和本机QEMU客户端。另一方面,EMC旗下的VMWareand Microsoft Hyper-V的流行产品不受影响。

各种安全产品也依赖于易受攻击的技术来隔离和检查恶意软件-鉴于某些虚拟机可能 (如现在所示) 泄漏,这是一个潜在的危险命题。

格夫纳说: “即使你不直接使用这些服务,存储你个人数据的账户也很有可能运行这些产品。”实际上,CrowdStrike估计该错误可能使成千上万的组织和数百万用户处于危险之中。

Geffner说: “有了毒液,您就可以在系统上突破虚拟机,并访问该系统网络上的其他数据。” 他补充说,攻击者可以通过覆盖机器内存的关键部分来使用它来 “执行他们喜欢的任何代码”。

这到底是什么意思?用一个更熟悉的比喻: 想象一栋公寓楼。就我们的目的而言,这代表了一个云服务器。现在想象一下公寓大楼内的公寓。这些代表虚拟机。虽然不同的公寓可能共享水、电、暖气和煤气等资源 -- 在这种情况下,这些资源都是由云基础设施提供商管理的 -- 但所有这些资源都被锁定并且无法相互访问。

Geffner有效地发现了一个后门: 可以解锁任何公寓的共享钥匙。

CrowdStrike的首席技术官兼联合创始人Dmitri Alperovitch表示,这是一个特别糟糕的错误。他将毒液与最近发现的其他具有高知名度的漏洞进行了比较,例如 “heartbleed” 和 “shellshock”,并说,考虑到攻击者可以妥协多少,“这可能会更糟”。他说,与其他错误不同,毒液倾向于在具有根级别访问权限或增强管理权限的系统上运行,这使攻击者可以完全访问整个系统,而不仅仅是单个应用程序。

“如果心脏出血的影响类似于有人能够走到你的房子,透过窗户看,shellshock让他们进入房子,拿出电视,” Alperovitch说,“有了毒液,有人不仅可以进入你的房子,拿着电视,他们还可以拿走你的保险箱,偷你的珠宝,然后进入邻居的房子。“

有趣的是,毒液会影响QEMU虚拟机管理程序的几乎完全未使用的组件: 其软盘控制器。(为了使虚拟机像物理机一样行动,并在其上运行操作系统,它们需要能够与实际系统的所有部分对话的代码,甚至看起来像是过时的工件。)由于没有人关注该被忽视地区的安全,该漏洞似乎已从裂缝中溜走。

丹·卡明斯基 (Dan Kaminsky) 是安全研究人员,安全公司White Ops的联合创始人兼首席科学家,他在4月末开始的CrowdStrike负责任披露期间就该漏洞进行了咨询,他的表现要酷一些。“这些事情时有发生,” 他说。“这不是第一个,也不会是最后一个。”

卡明斯基对毒液之前有什么类似的漏洞表示反对。“没有人可以公开谈论。”他停顿了一下。然后通过添加最高级来限定他的评估: “这是我见过的这些错误中最通用的。”

“每个人都吸收了这个错误,没有人想到要审计它,” 他说。他说,这就是为什么在不明显的地方寻找虫子很重要。他现在给每个人的建议?他说,在短期内,“如果你的系统没有自动修补,你需要今天就去修补它。如果需要重新启动,今天就需要重新启动。”

从长远来看,他建议人们尽可能告诉他们的云提供商,他们只想与他们所在领域或公司中的其他人共享工作流程。把你的硬件隔离给你自己。卡明斯基说: “如果你有这种错误,可以从他们的服务器的小块跳到你的服务器的小块,避免这种情况的最好方法是在你的服务器上不要有其他人。”

“它的成本更高,” 他说,“但你基本上是在出价超过你的攻击者。”

Geffner说,CrowdStrike已通知所有使用此易受攻击的QEMU代码的主要软件供应商,并已与他们合作以弥补漏洞。到目前为止,他还没有看到这种虫子在野外被利用,尽管随着新闻的公开,这种情况可能会改变。

格夫纳说: “我的希望和期望是,好人能够在坏人接触到他们的系统之前修补他们的系统。”

免责声明:本网站所有信息仅供参考,不做交易和服务的根据,如自行使用本网资料发生偏差,本站概不负责,亦不负任何法律责任。如有侵权行为,请第一时间联系我们修改或删除,多谢。

今日中国财经