Cybersecurity-experts van de Vrije Universiteit Amsterdam (VU) hebben een manier gevonden om in te breken op virtuele servers. Met behulp van de zogenoemde Flip Feng Shui-aanvalstechniek (FFS) kunnen virtuele servers aangevallen worden via een andere virtuele server op dezelfde fysieke host.
Volgens de security-experts gaat het om een nieuwe, op deduplicatie gebaseerde, aanval waarbij geheugengegevens niet alleen worden bekeken en gelekt, maar ook worden aangepast door de hardware te verstoren. Zo kan de aanvaller de server opdracht geven schadelijke en ongewenste software te installeren of logins toestaan van ongeautoriseerde personen.
De onderzoekers: ‘Met de nieuwe aanvalstechniek Flip Feng Shui (FSS) huurt een aanvaller een virtuele server op dezelfde host als het slachtoffer. Dit kan worden gedaan door veel virtuele machines te huren totdat een daarvan naast het slachtoffer ‘landt’. De aanvaller schrijft een geheugenpagina waarvan hij weet dat het slachtoffer deze ook heeft en laat die dedupliceren. Hierdoor worden de identieke pagina’s samengevoegd tot één om ruimte te besparen (de informatie is immers toch hetzelfde). Die pagina wordt opgeslagen in eenzelfde deel van het geheugen van de fysieke computer.’
Ze stellen verder dat de aanvaller nu de informatie in het algemeen geheugen van de computer aan kan passen. ‘Dit kan hij doen door de hardwarebug Rowhammer, die ervoor zorgt dat bits omklappen van 0 naar 1 of omgekeerd, aan te sporen om op zoek te gaan naar de kwetsbare geheugencellen en ze te veranderen.’
Debian en Ubuntu
VU heeft samen met de Katholieke Universiteit Leuven de aanvalsmethode ontdekt. De security-experts beschrijven in hun onderzoeksrapport twee aanvallen op de besturingssystemen Debian en Ubuntu. Bij de eerste aanval kreeg FFS toegang tot de servers van de systemen door de instellingen van de OpenSSH, dat hacken zou moeten voorkomen, te verzwakken. Dat deed de aanvaller door de publieke sleutel aan te passen met een bit.
In de tweede aanval werden de instellingen van softwarebeheerapplicatie apt aangepast door kleine wijzigingen aan te brengen in de url waarvandaan apt software downloadt. De server kon zo malware installeren die zich voordoet als een softwareupdate. De integriteitscontrole kon worden omzeild door een kleine wijziging te maken in de publieke sleutel die de integriteit van de apt-get-softwarepakketten verifieert.
Hypervisor
Volgens de onderzoekers zijn alle virtuele servers die zijn ondergebracht op hosts die geheugenontdubbeling (memory deduplication) toepassen kwetsbaar. Eigenaren van een host kunnen de kwetsbaarheid wegnemen door geheugenontdubbeling (memory deduplication) uit te schakelen in de configuratie van hun hypervisor. Bij oude versies van sommige hypervisors staat ontdubbeling standaard ingeschakeld.
Eigenaren van een virtuele server kunnen de kwetsbaarheid meestal niet zelf wegnemen. ‘Dring er bij de aanbieder van uw virtuele server op aan dat hij geheugenontdubbeling (memory deduplication) uitschakelt op de host waarop uw virtuele server isondergebracht’, waarschuwen de experts.
Factsheet NSCS
Het Nationaal Cyber Security Centrum (NSCS) van de Nederlandse overheid heeft een factsheet uitgebracht met daarin informatie en advies over FFS.
Interessante techniek! Uitzetten van deduplicatie kon de rekening wel eens wat hoger maken.
Goed leesbaar artikel over memory deduplicatie hier: http://lass.cs.umass.edu/papers/pdf/usenix12-sharing.pdf
Moet je dus wel weten op welke fysieke server de ander staat. Dit lijkt mij vrij lastig bij een groot datacenter. En puur toeval als je daar dan op terecht komt.
Corne,
“Server-based chipsets starting with the Intel Ivy Bridge (IVB) chipset provide support for pTRR. Subsequently, Haswell (HSW) and Broadwell (BSW) server chipsets from Intel also included support for the Joint Electron Design Engineering Council (JEDEC) Targeted Row Refresh (TRR) algorithm. The TRR is an improved version of the previously implemented pTRR algorithm. Protections for the issue have also been engineered into high density DDR3 memory parts by many vendors which can mitigate ‘Row Hammer’ directly.”
Tot zover de marketing want Barbara constateert dat de door Intel voorgestelde mitigatie niet doorgevoerd zijn waardoor grote datacentra volstaan met servers die in theorie gevoelig zijn voor dit soort aanvallen:
http://csiblog.balabit.com/blog-posts/cloudy-with-a-chance-of-errors
Barbara constateert ook dat software engineers niets meer weten van hardware en vice versa waardoor er een catch-22 ontstaat, deze hardware bug (e.e.a.) was al in 2012 bekend maar is nog grotendeels onopgelost waardoor deze middels virtualisatie makkelijk te dupliceren is maar ook makkelijk te detecteren. Het punt hierbij is echter de schaal, 1 server ‘knuffelen’ of 1000 maakt nogal een verschil in de omvang van je SIEM omgeving.
Uiteindelijk blijft duivelsdriehoek van kwaliteit altijd wringen op de verhouding van prijs/prestatie versus prijs/betrouwbaarheid en verliest in de cloud de laatste het helaas vrijwel altijd.