日前,第八屆互聯(lián)網(wǎng)安全大會(huì)ISC 2020線上拉開(kāi)帷幕,作為全球首場(chǎng)網(wǎng)絡(luò)安全萬(wàn)人云峰會(huì),在“數(shù)字孿生時(shí)代下的新安全”主題下,8月13日上線的漏洞管理與研究論壇,成為技術(shù)日最火爆的論壇之一。
眾所周知,素有網(wǎng)絡(luò)“軍火”之稱的漏洞,一直是網(wǎng)絡(luò)安全圈的焦點(diǎn)。此次論壇上,360 Vulcan Team漏洞挖掘與利用高級(jí)專(zhuān)家虛擬化安全研究員肖偉就通過(guò)一篇題為《Qemu-kvm和ESXi虛擬機(jī)逃逸實(shí)例分享》的演講,向與會(huì)嘉賓及一眾技術(shù)愛(ài)好者分享了東半球最強(qiáng)白帽團(tuán)隊(duì)的獨(dú)家挖“洞”錦囊。
分享Qemu-kvm漏洞實(shí)例時(shí),肖偉介紹稱,首先Qemu作為一款開(kāi)源的虛擬化軟件,是通過(guò)代碼模擬網(wǎng)卡、顯卡、聲卡等硬件設(shè)備的常用軟件,而qemu-kvm指的是虛擬機(jī)服務(wù)。該漏洞,是360 VulcanTeam于2019天府杯中,用時(shí)13秒即刻破解的經(jīng)典0day漏洞。
肖偉強(qiáng)調(diào),該漏洞一旦被成功利用,可以實(shí)現(xiàn)越界讀、越界寫(xiě)、相對(duì)偏移越界寫(xiě)等操作,最終在宿主機(jī)中執(zhí)行任意代碼,造成較為嚴(yán)重的信息泄露。早在2019年天府杯中,360 VulcanTeam就是利用該0day漏洞完成破解,用時(shí)13秒實(shí)現(xiàn)虛擬機(jī)逃逸,率先鎖定天府杯冠軍寶座。
現(xiàn)場(chǎng)分享Qemu-kvm漏洞實(shí)例時(shí)后,肖偉在演講中繼續(xù)介紹了ESXi虛擬機(jī)逃逸實(shí)例。眾所周知,ESXi是Vmware Vsphere產(chǎn)品的hypervisor組件。相比于前文提到的Qemu,ESXi是一個(gè)直接安裝在裸機(jī)上,類(lèi)似linux的系統(tǒng),。通常情況下,ESXi里面默認(rèn)運(yùn)行著web、slpd等多個(gè)服務(wù)。
肖偉表示,Slpd服務(wù)是Open SLP(Service Location Protocol)協(xié)議的具體實(shí)現(xiàn),默認(rèn)在427端口監(jiān)聽(tīng),在虛擬機(jī)里可以訪問(wèn)到。而要分享的這個(gè)漏洞cve-2019-5544就在Slpd服務(wù)里面。該漏洞一旦被成功利用,即可實(shí)現(xiàn)任意地址寫(xiě)任意數(shù)據(jù)的情況發(fā)生。具體來(lái)看,通過(guò)發(fā)起多個(gè)tcp連接,并且保持連接不關(guān)閉可以實(shí)現(xiàn)堆噴。隨后利用堆風(fēng)水溢出一個(gè)SLPBuffer結(jié)構(gòu)體,改寫(xiě)它的 start和curpos字段,下一次使用該結(jié)構(gòu)體的時(shí)候可以實(shí)現(xiàn)任意地址寫(xiě)入任意數(shù)據(jù),并最終泄露棧地址和控制rip。
網(wǎng)絡(luò)安全進(jìn)入新常態(tài)的大背景下,網(wǎng)絡(luò)漏洞不僅是避不開(kāi)的“新型軍火”,更醞釀著“高危漏洞+網(wǎng)絡(luò)武器”成為未來(lái)攻擊的新標(biāo)配的潛在趨勢(shì)。ISC作為網(wǎng)絡(luò)安全風(fēng)向標(biāo)級(jí)的行業(yè)盛會(huì),創(chuàng)辦至今一直高度聚焦漏洞研究,而漏洞管理與研究論壇的創(chuàng)立,就是立足技術(shù)高度為行業(yè)專(zhuān)家學(xué)者打造的交流空間。更多精彩,盡可關(guān)注ISC 2020 技術(shù)日漏洞管理與研究論壇。
