大便! 一个创业故事被释放了。 从员工到所有者转变思维的8种方法 3种类型的体验将帮助你的创业成功 你需要知道的关于打入视频游戏行业的一切 破解App Store代码的5种方法 想成为一名成功的企业家吗?做你知道的。 从他的公寓里打乱一个沉睡的巨人 利基微型公司将如何统治商业世界 帮助您的公司避免顶级创业杀手的4种策略 您的商业贷款被拒绝的8个原因 我从指导世界上最好的加速器的初创公司中学到的东西 如何将你的爱好变成有利可图的商业冒险 最大的公司名称更改 (信息图) 如何找到您的电子商务业务利基 初创公司可以从数字化转型中学到的5件事 战时企业家的生活故事 如何确定您的医疗索赔计费服务的最佳市场 大多数初创公司都知道不会犯的明显错误 (但无论如何还是会犯) 如何找到你有利可图的想法 为了增加成功的机会,进入一个你知道的行业 为什么我给我的团队买了100双运动鞋 在迈向企业家之前,您必须回答8个棘手的问题 使用 “事实” 方法来提出正确的想法 30岁前你应该学到的7个商业课程 成功餐饮活动的提示 在为时已晚之前申请商标 管理远程团队的7个技巧 (信息图) 创业投资者在投资前寻找的5件事 成功启动中西部创业的4个技巧 在迈向企业家之前,您必须回答8个棘手的问题 创业投资者在投资前寻找的5件事 3种策略,使您的产品在走出阴影之前达到最佳状态 管理远程团队的7个技巧 (信息图) 3甚至证明荒谬想法的网站都可以成为在线赚钱的人 2使命驱动的企业家分享他们的成功之路 赢得商业和生活的3个关键 如果你不想成为企业家也没关系 对幸福的不懈追求 创业或发展企业时的14种省钱方法 杰西卡·阿尔芭和莎拉·米歇尔·盖拉的重要创业课程 一方: 建立你的单人公司 创业创业的8条财务提示 企业家必须了解有关Cap表管理的12条规则 在线商务教练的隐患 你的商业计划必须回答的6个问题 辞职或被搞砸了之前必须做的7件事 企业家犯的6个最大的创业错误 为您的创业公司寻找创意员工的4种明智方法 帮助您经营多个企业的4个技巧 当你不能辞职时如何创业
您的位置:首页 >地方 >

“毒液” 漏洞: 严重的计算机错误破坏了云安全

2021-09-14 13:11:06 来源:

在几英里外的某些数据中心内,您的云托管网络的一部分可能与其他人在同一系统上运行。

通常,这不是问题。所谓的虚拟机-基本上是在其他计算机中模拟的计算机-防止同一台计算机上的网络相互影响。它们是管理大量计算资源的一种有效方法,同时大概可以使它们保持隔离和安全。

总部位于加利福尼亚州欧文的安全公司CrowdStrike的研究人员说,这并不是全部。事实证明,攻击者可以从某些虚拟机中爆发并操纵相邻运行的任何东西,从而打破了这些船只具有坚硬而快速的保护性边界的观念。

CrowdStrike的高级安全研究员杰森·格夫纳 (Jason Geffner) 发现了该漏洞,他说: “这破坏了隔离神话,即您可以让某些东西运行虚拟机,并将其与其他所有东西隔离开来。”“这个错误可以让你逃离一个容器,进入所有其他容器。”

周三上午,Geffner的团队宣布在通用虚拟机平台中发现了一个零日漏洞,这意味着以前未知的计算机错误。dubbedVenomfor “虚拟化环境被忽视的操作操作” 的错误影响了一种技术,在技术上被称为管理程序,该技术控制和协调系统上运行的虚拟机。

该漏洞特别影响了已有十年历史的免费开源管理程序,称为快速仿真器 (QEMU),该程序用于许多常见的虚拟化产品,包括Xen管理程序、KVM (或 “基于内核的虚拟机”) 、Oracle VM VirtualBox和本机QEMU客户端。另一方面,EMC旗下的VMWareand Microsoft Hyper-V的流行产品不受影响。

各种安全产品也依赖于易受攻击的技术来隔离和检查恶意软件-鉴于某些虚拟机可能 (如现在所示) 泄漏,这是一个潜在的危险命题。

格夫纳说: “即使你不直接使用这些服务,存储你个人数据的账户也很有可能运行这些产品。”实际上,CrowdStrike估计该错误可能使成千上万的组织和数百万用户处于危险之中。

Geffner说: “有了毒液,您就可以在系统上突破虚拟机,并访问该系统网络上的其他数据。” 他补充说,攻击者可以通过覆盖机器内存的关键部分来使用它来 “执行他们喜欢的任何代码”。

这到底是什么意思?用一个更熟悉的比喻: 想象一栋公寓楼。就我们的目的而言,这代表了一个云服务器。现在想象一下公寓大楼内的公寓。这些代表虚拟机。虽然不同的公寓可能共享水、电、暖气和煤气等资源 -- 在这种情况下,这些资源都是由云基础设施提供商管理的 -- 但所有这些资源都被锁定并且无法相互访问。

Geffner有效地发现了一个后门: 可以解锁任何公寓的共享钥匙。

CrowdStrike的首席技术官兼联合创始人Dmitri Alperovitch表示,这是一个特别糟糕的错误。他将毒液与最近发现的其他具有高知名度的漏洞进行了比较,例如 “heartbleed” 和 “shellshock”,并说,考虑到攻击者可以妥协多少,“这可能会更糟”。他说,与其他错误不同,毒液倾向于在具有根级别访问权限或增强管理权限的系统上运行,这使攻击者可以完全访问整个系统,而不仅仅是单个应用程序。

“如果心脏出血的影响类似于有人能够走到你的房子,透过窗户看,shellshock让他们进入房子,拿出电视,” Alperovitch说,“有了毒液,有人不仅可以进入你的房子,拿着电视,他们还可以拿走你的保险箱,偷你的珠宝,然后进入邻居的房子。“

有趣的是,毒液会影响QEMU虚拟机管理程序的几乎完全未使用的组件: 其软盘控制器。(为了使虚拟机像物理机一样行动,并在其上运行操作系统,它们需要能够与实际系统的所有部分对话的代码,甚至看起来像是过时的工件。)由于没有人关注该被忽视地区的安全,该漏洞似乎已从裂缝中溜走。

丹·卡明斯基 (Dan Kaminsky) 是安全研究人员,安全公司White Ops的联合创始人兼首席科学家,他在4月末开始的CrowdStrike负责任披露期间就该漏洞进行了咨询,他的表现要酷一些。“这些事情时有发生,” 他说。“这不是第一个,也不会是最后一个。”

卡明斯基对毒液之前有什么类似的漏洞表示反对。“没有人可以公开谈论。”他停顿了一下。然后通过添加最高级来限定他的评估: “这是我见过的这些错误中最通用的。”

“每个人都吸收了这个错误,没有人想到要审计它,” 他说。他说,这就是为什么在不明显的地方寻找虫子很重要。他现在给每个人的建议?他说,在短期内,“如果你的系统没有自动修补,你需要今天就去修补它。如果需要重新启动,今天就需要重新启动。”

从长远来看,他建议人们尽可能告诉他们的云提供商,他们只想与他们所在领域或公司中的其他人共享工作流程。把你的硬件隔离给你自己。卡明斯基说: “如果你有这种错误,可以从他们的服务器的小块跳到你的服务器的小块,避免这种情况的最好方法是在你的服务器上不要有其他人。”

“它的成本更高,” 他说,“但你基本上是在出价超过你的攻击者。”

Geffner说,CrowdStrike已通知所有使用此易受攻击的QEMU代码的主要软件供应商,并已与他们合作以弥补漏洞。到目前为止,他还没有看到这种虫子在野外被利用,尽管随着新闻的公开,这种情况可能会改变。

格夫纳说: “我的希望和期望是,好人能够在坏人接触到他们的系统之前修补他们的系统。”

免责声明:本网站所有信息仅供参考,不做交易和服务的根据,如自行使用本网资料发生偏差,本站概不负责,亦不负任何法律责任。如有侵权行为,请第一时间联系我们修改或删除,多谢。

今日中国财经