Security Professionals
- ipfw add deny all from eindgebruikers to any
ESXi guest to host escape
29-03-2017, 13:02 door Erik van Straten, 7 reacties
Reacties (7)
Door Erik van Straten: https://www.vmware.com/security/advisories/VMSA-2017-0006.html
Misschien ook nog iets van commentaar voorzien? Dan alleen een link plaatsen?
Een paar regels tekst is toch soms wel gemakkelijk....
dit lijkt me relevant genoeg.
Patchen.
onze 5.1 versie wordt niet eens meer van patches voorzien, vanwege oud en lelijk, dikke kans dat dit er ook inzit.
Van de week even een meeting met de Security Officer, dat hij zijn Risk Analyses mag bijwerken.
Patchen.
onze 5.1 versie wordt niet eens meer van patches voorzien, vanwege oud en lelijk, dikke kans dat dit er ook inzit.
Van de week even een meeting met de Security Officer, dat hij zijn Risk Analyses mag bijwerken.
29-03-2017, 23:41 door
Erik van Straten
Veel servers op deze wereld zijn gevirtualiseerd. Dat wil zeggen dat server hardware wordt gesimuleerd door software. De combinatie van de gesimuleerde server hardware, het besturingssysteem en daarop geïnstalleerde applicatiesoftware noemen we een VM (Virtual Machine).
Op een fysieke server kunnen meerdere VM's actief zijn. VM's kunnen niet direct op server hardware draaien, daar is ofwel een gangbaar besturingssysteem (zoals Debian Linux of Microsoft Windows) voor nodig aangevuld met virtualisatiesoftware (zoals VMware Workstation), of een gespecialiseerd bestiringssysteem (zoals VMware ESXi), ook bekend als hypervisor.
Een VM wordt ook een guest genoemd terwijl een fysieke server met hypervisor een host (in de zin van gastheer) wordt genoemd.
In de praktijk kunnen er vele VM's op 1 fysieke server (of enkele fysieke servers) draaien. Bij een hosting provider kunnen die VM's van verschillende klanten zijn, maar ook als dat niet zo is wil je niet dat je vanuit 1 VM toegang hebt tot 1 of meer andere VM's. Omdat VM's "op de host draaien" is het onvermijdelijk dat je vanuit de host VM's kunt beïnvloeden; je zult de host dus moeten vertrouwen. Omgekeerd hoor je vanuit een VM niet de host te kunnen beïnvloeden.
Bij een guest to host escape is het, door een bug, toch mogelijk om vanuit een guest wijzigingen op de host door te voeren. Meestal betekent dit dat kwaadaardige exploit code, gestart in de VM, ervoor zorgt dat er code op de host wordt uitgevoerd. Vanuit de host heeft de aanvaller vervolgens toegang tot alle andere VM's, wat natuurlijk een zeer onwenselijke situatie oplevert. Het risico is dus dat als 1 van de VM's gecompromitteerd raakt (c.q. de beheerder ervan of een gewone gebruiker kwaadaardig is), de aanvaller ook (alle) andere VM's kan overnemen.
Ik kan me niet herinneren eerder een guest to host escape in ESXi gezien te hebben, maar in elk geval is daar nu sprake van waardoor veel beheerders zich zorgen zullen maken. Niet alleen om deze ene kwetsbaarheid waar nu een patch voor beschikbaar is, maar zich ook zullen afvragen welke kwetsbaarheden er nog meer bestaan.
Op een fysieke server kunnen meerdere VM's actief zijn. VM's kunnen niet direct op server hardware draaien, daar is ofwel een gangbaar besturingssysteem (zoals Debian Linux of Microsoft Windows) voor nodig aangevuld met virtualisatiesoftware (zoals VMware Workstation), of een gespecialiseerd bestiringssysteem (zoals VMware ESXi), ook bekend als hypervisor.
Een VM wordt ook een guest genoemd terwijl een fysieke server met hypervisor een host (in de zin van gastheer) wordt genoemd.
In de praktijk kunnen er vele VM's op 1 fysieke server (of enkele fysieke servers) draaien. Bij een hosting provider kunnen die VM's van verschillende klanten zijn, maar ook als dat niet zo is wil je niet dat je vanuit 1 VM toegang hebt tot 1 of meer andere VM's. Omdat VM's "op de host draaien" is het onvermijdelijk dat je vanuit de host VM's kunt beïnvloeden; je zult de host dus moeten vertrouwen. Omgekeerd hoor je vanuit een VM niet de host te kunnen beïnvloeden.
Bij een guest to host escape is het, door een bug, toch mogelijk om vanuit een guest wijzigingen op de host door te voeren. Meestal betekent dit dat kwaadaardige exploit code, gestart in de VM, ervoor zorgt dat er code op de host wordt uitgevoerd. Vanuit de host heeft de aanvaller vervolgens toegang tot alle andere VM's, wat natuurlijk een zeer onwenselijke situatie oplevert. Het risico is dus dat als 1 van de VM's gecompromitteerd raakt (c.q. de beheerder ervan of een gewone gebruiker kwaadaardig is), de aanvaller ook (alle) andere VM's kan overnemen.
Ik kan me niet herinneren eerder een guest to host escape in ESXi gezien te hebben, maar in elk geval is daar nu sprake van waardoor veel beheerders zich zorgen zullen maken. Niet alleen om deze ene kwetsbaarheid waar nu een patch voor beschikbaar is, maar zich ook zullen afvragen welke kwetsbaarheden er nog meer bestaan.
Door Erik van Straten:
Ik kan me niet herinneren eerder een guest to host escape in ESXi gezien te hebben, maar in elk geval is daar nu sprake van waardoor veel beheerders zich zorgen zullen maken. Niet alleen om deze ene kwetsbaarheid waar nu een patch voor beschikbaar is, maar zich ook zullen afvragen welke kwetsbaarheden er nog meer bestaan.
Ik kan me niet herinneren eerder een guest to host escape in ESXi gezien te hebben, maar in elk geval is daar nu sprake van waardoor veel beheerders zich zorgen zullen maken. Niet alleen om deze ene kwetsbaarheid waar nu een patch voor beschikbaar is, maar zich ook zullen afvragen welke kwetsbaarheden er nog meer bestaan.
Dat was een hele uitleg .
Conceptueel was voor mij de titel 'ESXi guest to host escape' genoeg .
Maar wat wel een nuttige toevoeging zou zijn : Ook in VMWare Workstation Pro / Player en VMWare Fusion (vmware op mac os) zit deze bug.
Door Erik van Straten: Veel servers op deze wereld zijn gevirtualiseerd. Dat wil zeggen dat server hardware wordt
Held ;)
Waarom staat deze niet tussen de security.nl artikelen vraag ik me dan af.
Ernstig lek in Google Chrome maak ik me minder zorgen om (ivm auto updates die geregeld zijn door die browser) dan een VMware Esxi wat het gros van de bedrijven wel zal draaien en meer moeite mee zal hebben om te patchen. (meer impact, meer risico, beter artikel voor security.nl?)
Ernstig lek in Google Chrome maak ik me minder zorgen om (ivm auto updates die geregeld zijn door die browser) dan een VMware Esxi wat het gros van de bedrijven wel zal draaien en meer moeite mee zal hebben om te patchen. (meer impact, meer risico, beter artikel voor security.nl?)
30-03-2017, 11:02 door
Erik van Straten
Waarom staat deze niet tussen de security.nl artikelen vraag ik me dan af.
https://www.security.nl/posting/509097/VMware+patcht+lekken+die+aanvaller+host+lieten+overnemen ;-)Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
