日前,第八屆互聯網安全大會ISC 2020線上拉開帷幕,作為全球首場網絡安全萬人云峰會,在“數字孿生時代下的新安全”主題下,8月13日上線的漏洞管理與研究論壇,成為技術日最火爆的論壇之一。
眾所周知,素有網絡“軍火”之稱的漏洞,一直是網絡安全圈的焦點。此次論壇上,360 Vulcan Team漏洞挖掘與利用高級專家虛擬化安全研究員肖偉就通過一篇題為《Qemu-kvm和ESXi虛擬機逃逸實例分享》的演講,向與會嘉賓及一眾技術愛好者分享了東半球最強白帽團隊的獨家挖“洞”錦囊。
分享Qemu-kvm漏洞實例時,肖偉介紹稱,首先Qemu作為一款開源的虛擬化軟件,是通過代碼模擬網卡、顯卡、聲卡等硬件設備的常用軟件,而qemu-kvm指的是虛擬機服務。該漏洞,是360 VulcanTeam于2019天府杯中,用時13秒即刻破解的經典0day漏洞。
肖偉強調,該漏洞一旦被成功利用,可以實現越界讀、越界寫、相對偏移越界寫等操作,最終在宿主機中執行任意代碼,造成較為嚴重的信息泄露。早在2019年天府杯中,360 VulcanTeam就是利用該0day漏洞完成破解,用時13秒實現虛擬機逃逸,率先鎖定天府杯冠軍寶座。
現場分享Qemu-kvm漏洞實例時后,肖偉在演講中繼續介紹了ESXi虛擬機逃逸實例。眾所周知,ESXi是Vmware Vsphere產品的hypervisor組件。相比于前文提到的Qemu,ESXi是一個直接安裝在裸機上,類似linux的系統,。通常情況下,ESXi里面默認運行著web、slpd等多個服務。
肖偉表示,Slpd服務是Open SLP(Service Location Protocol)協議的具體實現,默認在427端口監聽,在虛擬機里可以訪問到。而要分享的這個漏洞cve-2019-5544就在Slpd服務里面。該漏洞一旦被成功利用,即可實現任意地址寫任意數據的情況發生。具體來看,通過發起多個tcp連接,并且保持連接不關閉可以實現堆噴。隨后利用堆風水溢出一個SLPBuffer結構體,改寫它的 start和curpos字段,下一次使用該結構體的時候可以實現任意地址寫入任意數據,并最終泄露棧地址和控制rip。
網絡安全進入新常態的大背景下,網絡漏洞不僅是避不開的“新型軍火”,更醞釀著“高危漏洞+網絡武器”成為未來攻擊的新標配的潛在趨勢。ISC作為網絡安全風向標級的行業盛會,創辦至今一直高度聚焦漏洞研究,而漏洞管理與研究論壇的創立,就是立足技術高度為行業專家學者打造的交流空間。更多精彩,盡可關注ISC 2020 技術日漏洞管理與研究論壇。
