la virtualisation des failles bien reelles ou virtuelles

1

Tous droits réservés/ Copyright © 2009 BPR 1

La virtualisation : des failles biens réelles ou

virtuelles?

David GirardExpert conseil sécuritéBPR-TIC

Infectée

2

Tous droits réservés/ Copyright @ 2009 BPR2

Infectée

Avertissement

Je vais principalement parler des produits les plus populaires comme VMWare, famille Xen/ Citrix et Microsoft Hyper-V.

Je ne parlerai pas de Parallels, Intel VT-x, AMD-V ou d’un obscur système d’exploitation de mainframe qui fait de la virtualisationdepuis longtemps.

3


Infectée

Mise en situation

Les chercheurs en sécurité et les firmes de sécurité vous disent que vous êtes à risque et que vous devez acheter leurs solutions.

Les vendeurs de virtualisation vous disent que la virtualisation ou le « cloud computing » va tout régler.

De quelle couleur sont vraiment les nuages de la virtualisation?

4


Infectée

La virtualisation va tout régler

� Elle va diminuer vos coûts d’exploitation en baissant vos coûts de matériel, énergie, immobilisation, etc.

� Vous serez plus « green »! Elle va régler le réchauffement de la planète à elle seule.

� Augmenter la productivité de vos administrateurs (ratio serveur/administrateur plus élevé…).

� Vous aurez de la haute disponibilité, du recouvrement en cas de désastre et de la continuité des affaires.

5


Infectée

Le marché

� La virtualisation est le marché qui augmentera le plus en TI cette année selon IDC.

� 40% des serveurs seront virtualisés� Les 4 éléments de motivation à utiliser la

virtualisation sont: 1. L’utilisation par de plus en plus de gens.2. Coût au pied carré3. Alimentation électrique et refroidissement4. Administration et maintenance

� 200 serveurs virt./admin au lieu de 50 serveurs/admin

6


Infectée

La virtualisation est insécure…

� Les présentations de chercheurs à DevCon, Black Hat et autres se succèdent. Le « cloud computing » est dangereux et piratable.

� Les outils, les preuves de concept (Bluepill, Vitriol, Xensploit) et les Whites papers des firmes de sécurité font leur apparition.

� « Hypervisor Attacks and Hurricanes are inevitable… » Le marketing de la peur est enclenché! Sans nos produits votre organisation va mourir dans un incident apocalyptique. Évangile selon Saint-Gartner, verses Blog. Repentez-vous et sécurisez-vous!

7


Infectée

Statistiques sur les vulnérabilités

914668127Total VMWare

10392VMWare ESX 4i

11454VMWare ESX 4

101913VMWare ESX 3i

0721636VMWare ESX 3

0414029VMWare ESX 2

21517VMWare Server 2

114813VMWare Server 1

205412VMWare Desktop

105611VMWare Player

211912Total Famille Xen

0000Citrix Xen Desktop

0000Citrix Xen App

0022Citrix Xen Server

211710Xen 3.x

0011153Total Microsoft

0022Hyper-V / Virtual PC Server

0010951Windows 2008

Pas corrigéPartiellement réglé# vulnérabilitésCorrectifs

/AlertesLogiciel

Source : Secunia de 2003 à octobre 2009

Note: La famille ESX et Xen héritent de beaucoup de failles des OS Linux. Ces vulnérabilités n’ont pas été comptabilisées pour l’instant.

8


Infectée

Donc c’est réel! Plusieurs vulnérabilités

1. Il y a des vulnérabilités mais sont-elles exploitables ?

2. Est-ce que le côté obscure s’y intéresse ou si cela n’est qu’académique?

3. Comment pouvons-nous attaquer une infrastructure virtuelle et comment pouvons nous la défendre ultimement?

9


Infectée

Les vulnérabilités sont t-ellesexploitables?

Si l’on prend ESX 3 et que l’ont vérifie les vulnérabilités qui ont été rendu publiques, plus de la moitié sont exploitables à distance. La majorité ne permet pas un accès àl’hyperviseur, elles permettent par contre dans la grande majorité le DoS et l’exposition d’informations.

10


Infectée

Exemple :ESX 3.x en 2009

À distance DoS, accès au système 3/502-02-2009SA33746

À distance DoS1/502-02-2009SA33776

À distance

Contournement de la sécurité, Expositions d'informations sensibles, exposition d'informations sur le système, Cross Site Scripting3/524-02-2009SA34013

À distance Usurpation, accès au système3/501-04-2009SA34530

Système localExposition d'informations sensibles1/506-04-2009SA34585

Système localContournement de la sécurité2/513-04-2009SA34697

Système localDoS1/529-05-2009SA35269

À distance DoS, accès au système 4/501-07-2009SA35667

À distance

Contournement de la sécurité, Expositions d'informations sensibles, exposition d'informations sur le système, Escalade des privilèges, DoS, accès au système4/519-10-2009SA37081

Système localEscalade des privilège2/528-10-2009SA37172

Réseau localExposition d'informations sensibles2/528-10-2009SA37186

Provenace de l'attaqueImpacteSévéritéDateNo. bulletin

Source: Secunia Commentaire: En jaune, on retrouve des vulnérabilités qui n’ont pas été complètement réparées.

11


Infectée

Virtualisation 101

Avant de parler des vulnérabilités, voici un court aperçu des composants de la virtualisation et des types d’hyperviseurs.

Ne pas montrer au Hackfest car ils ne sont pas des gestionnaires!

12

12

3

4

5

6

7

8

13


Infectée

Les hyperviseurs pour les nuls

Réseau

Ordinateur

Ressources partagés de

l’ordinateur

Environnement

matériel

Disques partagés

Mémoire partagée

Hyperviseur

Logiciel qui prétend être

du matériel

Réseau partagé

Carte réseau virtuelle

VM

Machine Virtuelle

Disques virtuels

OS Kernel

Applications

� L’hyperviseur est un logiciel de type Xen ou VMWare ESX.

� Il y a les hyperviseurs de type 1 et de type 2;

� Les VM (pas besoin d’explications);

� Il y a aussi la console de gestion qui contrôle les différents hyperviseurs et VM.

� La migration, représente le transfert via le réseau d’une VM, d’un Hyperviseur à un autre à des fins de haute disponibilité.

14


Infectée

Type 1 versus Type 2

Type 1: Plus robuste et plus orienté production.

Type 2: Moins robuste. Parfait pour les environnements de tests.

ESX Server

Hypervisor Type 1 (OS propriétaire durci)

Console

vSwitch vSwitch

VM VM VM VM

Serveur Physique

VM VM VM VM

Hypervisor Type 2

Console

vSwitch vSwitch

VM VM VM VM

Serveur Physique

VM VM VM VM

OS (Windows ou Linux)

VMWare Server VMWare Workstation et player sont aussi des types 2.

15


Infectée

Types 1 versus Type 2

3845984VMWare Type 2

6220943VMWare Type 1

Pas corrigéPartiellement réglé# vulnérabilitésCorrectifs

/AlertesLogiciel

Les types 2 sont donc mathématiquement plus vulnérables! C’est aussi ce que l’on peut vérifier en analysant la nature des vulnérabilités. Elles sont plus sévères, probables et faisables. On peut souvent passer de la VM àl’hyperviseur et vice versa avec les vulnérabilités trouvées dans le type 2.

De plus, avec le type 2, il faut calculer vulnérabilités totales = vulnérabilités de l’OS sous jacent + les vulnérabilités de l’hyperviseur + les vulnérabilités de l’OS de la VM. Beaucoup de possibilités d’exploitation!

Exemple :Le directory traversal des produits VMWare pour PC en février 2008.

16


Infectée

Surface d’attaque

1. Composants de gestion2. Infrastructure virtuelle (ex: vmkernel, vmsafe)3. Infrastructure physique (hyperviseur + san…)

primaire4. Infrastructure physique de relève5. Les machines virtuelles et les appliances6. Les équipements de gestions externes7. Les liens externes de l’infrastructure virtuelle8. Les hyperviseurs de type 2 et les postes de travail

virtualisés qui sont sur le réseau de l’organisation9. Les administrateurs d’infrastructures virtuelles

17


Infectée

Les possibilités d’attaques1. Attaques sur l’infrastructure de gestion (XSS, DoS, etc) ;2. Attaques sur les machines virtuelles (une VM ou de ou VM à VM «

VM hopping »3. « Jail breaking », VM à Hyperviseur (plus répendu sur les types 2)4. Side channel attack. L’hyperviseur envoit des informations à une VM

qui expose des secrets à une autre VM. Survient si le réseau virtuel est mal configuré : promiscuos mode enabled.

5. Attaques sur le réseau virtuel :Attaques sur les services de réplication comme vMotion ou si le MAC spoofing est permis sur la vSwitch. Si le réseau virtuel n’est pas bien segmenté et que par exemple, on a des VM d’une zone publique et d’une zone privée sur une même vSwitch, vous exposez votre réseau interne à des attaquants externes.

6. Attaques sur l’OS sous-jacent dans le cas des hyperviseur de type 2.

18


Infectée

Les possibilités d’attaques (suite)

7. Attaques sur la couche de persistance. On trouve souvent lors d’audits des fichiers VMDK en partage sur le réseau ou des SAN qui ont le mot de passe par défaut du fabriquant. N’oublier pas que iSCSI passe ses authentifiant en clair sur le réseau avec VMWare (activez CHAP mais avec un MiTM vous verrez tout quand même si vous lancez votre attaque avant l’authentification). Si le réseau local n’est pas adéquatement segmenté, vous exposez alors vos données à tous les utilisateurs du LAN.

8. Sabotage de la part de l’administrateur de l’infrastructure virtuelle.9. Attaque via le Clipboard entre la console et une VM compromise.10. Directory traversal (ex: VMWare Workstation, partage)11. XSS sur un composant de l’hyperviseur. Ex: VMWare Player.12. Attaque sur les fichiers de logs. Log Abuse. DoS.13. Attaque SNMP. Certains supportent SNMP 1 et sont très bavard.

Exigez 2c ou 3.

19


Infectée

Les possibilités d’attaques (suite)

14. Idée: exploiter une faille dans un produit VMSafe. Être le ownerd’un appliance virtuel de sécurité vous donnera un contrôle ou une vue imprenable de l’infrastructure virtuelle. Ex: Comme les failles dans Snort ou dans un produit similaire.

15. Rootkit à la BluePill ou Vitriol.16. Fausses mises à jour. Vérifier vos hash! Ingénierie sociale sur

l’administrateur de l’infrastructure virtuelle. Faux programme de transfert SCP…

17. Exploitation de l’API VIX.18. Exploiter des VM ou des vSwitche mal isolées.19. Attaquer la console.

20


Infectée

Intérêt des pirates pour la virtualisation

� Durant les deux dernières années nous avons vu que certains code malicieux ne s’exécutent pas dans un environnement virtuel afin de contrer leur analyse dans des zoo virtuels.

� Mais de plus en plus, les routines anti-analyse et anti-forensic sont de plus en plus ciblés sur les outils d’analyses plutôt que sur les environnements. Mais on peut les déjouer facilement en renommant les outils.

21


Infectée

Les listings de détection de zoo font légion sur certains sites

BOOL IsJB(){

if(IsProcessRunning("joeboxserver.exe") == 1 || IsProcessRunning("joeboxcontrol.exe") == 1){

detected = 1;return 1;

}

return 0; }

22


Infectée

Le côté obscur et le cloud

� La virtualisation des postes de travail (VDI) est de plus en plus à la mode et les postes de travail sont la base des botnets.

� Les postes virtualisés statiques sont réinitialisés chaque jour et mis à jour constamment. Pas très bon pour un bot.

� Les postes virtualisés dynamiques sont de meilleures cibles car ils sont plus similaires au postes traditionnels. Mais ils seront moins nombreux.

� Compte tenu de l’évolution du marché vers la virtualisation, les pirates vont s’adapter ou faire place à d’autres: Cyber Darwinisme.

23


Infectée

Comment se protéger

1. Gestion des accès (rôles) et de l’authentification serré.2. Définir des serveurs ESX pour des tâches différentes et

des niveaux de sécurité différents.3. Sécurité de la persistance « Storage ».4. Sécuriser la console5. Séparation des tâches entre les administrateurs.6. Mettre à jour les composants.7. Sécuriser les réseaux physiques et virtuels.

24


Infectée

Comment se protéger (suite)

9. Mettre place une infrastructure de journalisation et de surveillance adéquate.

10. Implanter une solution de sécurité qui tire profit de VMSafe ou l’équivalent.

11. Durcir et protéger les VM elles mêmes.12. Effectuer le durcissement de l’environnement virtuel

(voir références à la fin). 13. Balayer les environnements virtuels avec des

scanneurs de vulnérabilités régulièrement.14. Sécuriser les applications qui sont dans les VM car

elles peuvent compromette les VM.

25


Infectée

Références

� VMWare Infrastructure 3.5 Hardening, VMWare� CIS VMWare ESX Server Benchmark, CIS� ESX Server Security Technical Implementation Guide,

DISA� Xen Server Security Technical Implementation Guide,

DISA� DMZ Virtualisation with VMWare Infrastructure, VMWare� VM Security Technical Implementation Guide, DISA� www.secunia.com

26


Infectée

Commentaires

� Connaissez-vous une technologie de « cloudcomputing » qui soit mature et opérationnelle depuis longtemps?

� La plupart des organisations ne le savent pas mais elles ont un nuage privé!

Moi, oui, on appel cela un botnet!

C’est juste que ce nuage ne vous appartient plus. Vous n’êtes qu’un hébergeur!

Pour reprendre le contrôle de votre nuage, appelez nous!

la virtualisation des failles bien reelles ou virtuelles

Documents