White Paper Nyttjande av virtualisering i högsäkerhetsmiljöer (12) Jonas Haglund

Transkript

1 1.0 1(12) Västerås

2 1.0 2(12) Innehållsförteckning 2. Inledning Bakgrund Syfte Referenser Allmänt om virtualisering Begrepp Säkerhet Risker Historik Best practice Slutsats/diskussion... 12

3 1.0 3(12) 2. Inledning 2.1. Bakgrund Idag nyttjar de flesta företag och organisationer virtualisering i någon utsträckning och teknologin får betraktas som mogen. Dock är det inte allmänt känt hur virtualisering påverkar säkerheten i miljön. Virtualisering löser i allmänhet inga säkerhetsproblem men medför en del nya aspekter som måste beaktas i säkerhetsarbetet, inte minst den högre komplexiteten Syfte Detta White Paper syftar till att utreda på vilket sätt och i vilken utsträckning virtualisering kan och nyttjas i företag och organisationer med mycket högra krav på säkerhet Referenser Titel Författare Länk Network Segmentation in Virtualized Environments VMware Inc ntation.pdf Virtualization Best Practices VMware, Inc /vmware-intel-best-practices-wpl.pdf Best Practices for Storage Networks Overcomin Security Challenges to Virtualize Internet-facing Applications Virtualization: Security Best Practice George G, Meade, NSA Bill Sunderland, Intel Ajay Chandramouly Intel Harry Waldron, Microsoft pdf s/en/documents/white-papers/cloud-security-andsecure-virtualization-paper.pdf us/security/hh aspx?f=255&mspperror= Information Supplement: PCI DSS Virtualization Guidelines Virtualization Special Interest Group, PCI Security Standards Council Virtualization_InfoSupp_v2.pdf

4 1.0 4(12) 3. Allmänt om virtualisering Servervirtualisering är en form av hårdvaruvirtualisering som i sig kan delas in i tre huvudsakliga varianter: - Full virtualisering: En hårdvara simuleras i stort sett fullt ut på vilken ett ordinarie operativsystem installeras. Operativsystemet är i princip inte medvetet om att det körs på en virtuell hårdvara. - Partiell virtualisering: Delar av hårdvara är simulerad på ett sätt som tillåter att vissa programvaror kan köras på ett sätt att de isoleras från varandra genom adress relaction. - Paravirtualisering: En hårdvara är inte simulerad, utan gästprogramvara exekveras i isolerade domäner, som om de kördes på ett separat system. Gästprogrammen måste vara särkilt anpassade för detta. Denna studie betraktar främst full virtualisering. Den huvudsakliga fördelen är att flera servrar kan köras på samma fysisk hårdvara. Detta kan av uppenbara skäl kan spara kostnader både för hårdvaran i sig, men även i förvaltningen. Dessutom underlättar tekniken för att kunna efterleva principen 1 tjänst 1 server, en princip som har både säkerhetsmässiga och förvaltningsmässiga fördelar. I ett scenario med två eller flera fysiska servrar skapar virtualisering förutsättningar för sömlös serverredundans på så sätt att om en fysisk server fallerar, kan de virtuella servrarna automatiskt och i nära realtid migreras över till övriga fysiska servrar. Denna teknik kallas fail-over. De huvudsakliga fördelarna med servervirtualisering kan alltså sammanfattas som: - Reducerade hårdvarukostnader - Förbättrad tillgänglighet genom fail-over - Underlättad förvaltning genom principen 1 tjänst, 1 server - En ny server kan enkelt upprättas efter behov utan föregående inköp av hårdvara - Många fördelar vid test och utbildning men tas inte upp här eftersom det är ointressant utifrån denna förstudies syfte Begrepp Virtualisering Här avses alltså servervirtualisering vilket i sig är en form av hårdvaruvirtualisering. Med hårdvaruvirtualisering innebär alltså principen att kunna exekvera flera operativsystem parallellt på samma hårdvara Värdsystem Med värdsystem avses den fysiska maskinvara (servern) på vilken virtuella servrar skapas Gästsystem Med gästsystem avses en virtuell maskinvara (server) Hypervisor Hypervisor är den programvara som skapar och upprätthåller den virutella hårdvara på vilken virtulla maskiner exekverar. Kallas även Virtual Machine Monitor (VMM).

5 1.0 5(12) Paravirtualisering Med paravirtualisering avses ett variant av hårdvaruvirtualisering där gästsystem i större utsträckning får direkt åtkomst till den fysiska hårdvaran, framförallt för att reducera vissa prestandaförsämringar som annars riskerar att uppstå i och med virtualiseringslagret VM escape Med VM Escape avses möjligheten för en angripare, som har åtkomst till ett gästsystem, att bereda sig åtkomst till värdsystemet och/eller till andra gästsystem via hypervisorn. 4. Säkerhet Generellt förändras inga de grundlänggade principer för IT-säkerhet (separation of duties, patchhantering etc) i och med att man inför virtualisering. Normalt sett, som med alla paradigmskiften inom IT är det viktigaste att ha förståelse för vad en teknik innebär. Utifrån detta diskuteras risker specifika för virtualiserade miljöer i följande avsnitt Risker I följande avsnitt redogörs kortfattat för de olika risker som virtualisering medför Ny attackyta: Hypervisor Genom tillförandet av komponenten Hypervisor introduceras en ny och mycket känslig angreppspunkt då den potentiellt medger möjlighet att påverka ett stort antal virtuella maskiner. Av naturliga skäl måste denna omsorgsfullt skyddas Ökad komplexitet Virtualisering inför ett helt nytt lager I IT-infrastrukturen vilket per automatik innebär en förhöjd komplexitet som riskerar introducera nya typer av risker. I synnerhet uppstår dolda dataflöden mellan virtualiserade komponenter som inte finns mellan dess fysiska motsvarigheter VM escape Vid nyttjande av virtualisering uppstår det en teoretisk sårbarhet i det fall flera virtuella maskiner körs på samma hårdvara: möjligheten för en angripare att via en virtuell maskin påverka andra virtuella maskiner på samma plattform. En attack som framgångsrikt nyttjar en sådan sårbarhet brukar kallas VM Escape. Det här problemet är olika stort beroende på vilken behov av separation som finns mellan de virtuella servrarna. Ett extremfall i ena änden av skalan är två servrar som ingår i ett kluster, t.ex. ett databaskluster. I detta scenario tillhandahåller båda servrarna samma funktion samt innehåller samma data. Av naturliga skäl är incitamentet lågt att genomföra en sådan attack. Den andra extermen är två stycken servrar som servar helt olika verksamheter (t.ex. i ett serverhosting scenario). Angriparen har berett sig åtkomst till den ena, men har behov av åtkomst till den andra. Incitamentet är stort. Värt att notera är dock att en sådan attack nödvändigtvis inte är det enda sättet om det även finns nätverksmässiga kopplingar mellan servrarna Svårigheter att särskilja roller I en traditionell IT-miljö utan virtualisering är det relativt tydligt att t.ex. särskilja behörigheter för en nätverksadministratör och serveradministratör. Via en hypervisor får en adminstratör tillgång till samtliga

6 1.0 6(12) virtuella enheter som kan omfatta både servrar, applikationer och nätverksutrustning vilket gör separationen mellan rollerna mer svårdefinierade även om möjligheterna självklart finns Outnyttjande/latenta virtuella maskiner I och med enkelheten I att skapa nya virtuella enheter ökar också risken för outnyttjade VM:ar som ligger kvar i miljön efter t.ex. prov- och försöksverksamhet, avbrutna projekt m.m. Dessa är av naturliga skäl potentiella angreppspunkter då alla säkerhetsmekanismer eventuellt inte är på plats, alternativt är föråldrade. Dessa enheter kan också innehålla känslig information eller vara en gateway för djupare intrång i systemet Läckage mellan virtuella nätverkssegment De flesta virtualiseringslösningarna medger skapandet av virtuella nätverksenheter (switchar/routrar) samt att på andra sätt virtualisera delar av nätverksinfrastrukturen. Det innebär att det inte blir lika uppenbart vart och hur data flödar och vart den är åtkomligt.det innebär även att en överhängande risk för att befintliga flödeskontroller (brandväggar, intrångsdetektering etc.) blir verkningslösa, eller missar betydande delar av avsedda dataflöden Läckage mellan virtuella komponenter I och med det nya abstrationslagret mellan virtuella komponenter uppstår teoretiskt möjlighet för en angriapre att avlyssna andra komponenter genom t.ex. delade resurser eller via angrepp mot hypervisorn Historik Nedan följer en genomgång av de mer kända, allvarliga sårbarheterna som drabbat olika hypervisors. I synnerhet har sårbarheter som möjliggort VM escapes studerats CVE Directory traversal vulnerability in shared folders feature Directory traversal vulnerability in the Shared Folders feature for VMware Workstation before 5.5.4, when a folder is shared, allows users on the guest system to write to arbitrary files on the host system via the "Backdoor I/O Port" interface. Sårbarhet som medger läsning och skapande av filer på värdsystemet. Sårbarheten berör en funktion kallad shared folders som medger åtkomst till specifikt utvalda mappar på värddatorn från gästsystemet. Det krävs att minst en sådan mapp är delad. Sårbarheten innebär att en angripare kan bereda sig åtkomst till andra mappar än de som är specifikt angivna. I dessa mapparen kan angriparen läsa, ändra och skapa filer. Produkten, VMWare Workstation, och funktionen shared folders används normalt sett endast av privatpersoner eller i testsammanhang och i stort sett aldrig i produktionsmijöer. Detta tillsammans med att endast skapande och läsning av filer medges (inte kodexekveringen) är effekten av denna sårbarhet begränsad. Proof of concept

7 1.0 7(12) Fungerande PoC finns. VMware Workstation (Type 2 Hypervisor, avsedd för konsumentbruk) I och med att drabbad lösning normalt sett inte används i produktionsmiljöer var både den faktiska och potentiella konsekvensen begränsad CVE Path traversal vulnerability in VMware s shared folders implementation Directory traversal vulnerability in the Shared Folders feature for VMWare ACE and 2.0.2, Player and 2.0.2, and Workstation and allows guest OS users to read and write arbitrary files on the host OS via a multibyte string that produces a wide character string containing.. (dot dot) sequences, which bypasses the protection mechanism, as demonstrated using a "%c0%2e%c0%2e" string. Sårbarheten är snarlik föregående men berör andra versioner. Beröd hypervisor VMware ACE, VMware Player, VMware Workstation (samtliga är type 2 Hypervisors avsedda för konsument). Fungerade PoC finns. Se föreågende sårbarhet CVE Buffer Overflow Buffer overflow in the backend of XenSource Xen Para Virtualized Frame Buffer (PVFB) 3.0 through allows local users to cause a denial of service (crash) and possibly execute arbitrary code via a crafted description of a shared framebuffer En buffer overflow-sårbarhet som ger en angripare potentiellt möjlighet att exekvera godtycklig kod med fullständiga rättigheter på värdsystemet. På så sätt får angriparen kontroll över både värdsystem samt andra gästsystem. Fungerande proof-of-concept finns för vissa 32 bitars versioner av Fedora. Berörd Hypervisor Xen, paravirtualisering avsedd för både produktion och konsument.

8 1.0 8(12) Sårbarheten är komplex att använda och av de kända exploits som finns så fungerar dessa endast på 32 bitars versioner av Fedora och är även beroende på hur SELinux är konfigurerat (kräver permissive mode ). Inga kända attacker in the wild har observerats CVE Unspecified vulnerability Unspecified vulnerability in the virtual machine display function in VMware Workstation and earlier; VMware Player and earlier; VMware ACE and earlier; VMware Server 1.x before build and 2.x before build ; VMware Fusion before build ; VMware ESXi 3.5; and VMware ESX 3.0.2, 3.0.3, and 3.5 allows guest OS users to execute arbitrary code on the host OS via unknown vectors, a different vulnerability than CVE Sårbarheten möjliggör exekvering av godtycklig kod på värdsystemet. Sårbarheten berör både konsument och produktionsprodukter från VMware. Inga kända lyckade attacker in the wild. VMware Ett proof-of-concept har tagits fram för denna sårbarhet, kallad Cloudburst. Denna fungerar dock endast på konsumentversionerna av VMware (Workstation). Den kräver även att gästsystemet kör Windows. Brukar räknas som en av de allvarligaste sårbarheterna kopplat till virtualisering. Av de kända exploits som finns beörs dock endast konsumentversioner. Inga kända attacker in the wild har observerats. Upptäckt Upptäcktes januari CVE Missing hotplug check during device removal The pciej_write function in hw/acpi_piix4.c in the PIIX4 Power Management emulation in qemu-kvm does not check if a device is hotpluggable before unplugging the PCI-ISA bridge, which allows privileged guest users to cause a denial of service (guest crash) and possibly execute arbitrary code by sending a crafted value to the 0xae08 (PCI_EJ_BASE) I/O port, which leads to a use-after-free related to "active qemu timers." Sårbarhet som medger exekvering av godtycklig kod på värdsystemet. Sårbarheten berör tidigare versioner av den inbyggda virtualiseringsmotorn i Linux Kernel (Kernel-based Virtual Machine, KVM).

9 1.0 9(12) finns, Virtunoid. KVM (kan nyttjas bade som Type 1 eller Type II hypevisor samt har visst stöd för Paravirtualization). Allvarlig sårbarhet, dock var det få produktionsmiljöer som nyttjade KVM. Ingen känd attack har observerats in the wild CVE bit PV guest privilege escalation vulnerability The x86-64 kernel system-call functionality in Xen and earlier, as used in Citrix XenServer and earlier and other products; Oracle Solaris 11 and earlier; illumos before r13724; Joyent SmartOS before T184600Z; FreeBSD before 9.0-RELEASE-p3; NetBSD 6.0 Beta and earlier; Microsoft Windows Server 2008 R2 and R2 SP1 and Windows 7 Gold and SP1; and possibly other operating systems, when running on an Intel processor, incorrectly uses the sysret path in cases where a certain address is not a canonical address, which allows local users to gain privileges via a crafted application. NOTE: because this issue is due to incorrect use of the Intel specification, it should have been split into separate identifiers; however, there was some value in preserving the original mapping of the multi-codebase coordinated-disclosure effort to a single identifier. En sårbarhet som medger exekvering av godtycklig kod och berör vissa versoiner av Xen och Citrix XenServer hypervisors. Sårbarheten medger alltså att en angripare kan exevkera kod på värddatorn. Det krävs dock att angriparen har root behörighet i gästen. finns, dock är det begränsat till att fungera på 64 bitar paravirtualiserade gästsystem på enstaka versioner av Citrix XenServer samt Xen. Kräver att angriparen har fullständiga rättigheter i gästsystemet. Citrix XenServer och Xen (Type 1 hypervisors med stöd för paravirtualisering) Allvarlig sårbarhet, dock har inga kända attacker in the wild observerats CVE Oracle VirtualBox 3D acceleration multiple memory corruption vulnerabilities Multiple array index errors in programs that are automatically generated by VBox/HostServices/SharedOpenGL/crserverlib/server_dispatch.py in Oracle VirtualBox 4.2.x through and 4.3.x before 4.3.8, when using 3D Acceleration, allow local guest OS users to execute arbitrary code on the Chromium server

10 1.0 10(12) Sårbarheten medger exekvering av godtycklig kod på värden och berör hypervisorn VirtualBox Funegrande PoC finns. Sun Virtualbox (type 2 hypervisor). Främst avsedd för konsumentbruk. Allvarlig sårbarhet, men Virtualbox är en ren konsumentprodukt. Inga kända attacker in the wild har observerats CVE VENOM The Floppy Disk Controller (FDC) in QEMU, as used in Xen 4.5.x and earlier and KVM, allows local guest users to cause a denial of service (out-of-bounds write and guest crash) or possibly execute arbitrary code via the (1) FD_CMD_READ_ID, (2) FD_CMD_DRIVE_SPECIFICATION_COMMAND, or other unspecified commands, aka VENOM. Buggen introducerades över ett decennium sedan i ett open-source projekt kallat QEMU. Sårbarheten är kopplad till ett buffer-overflow-problem i den del av mjukvaran som simulerar floppy-enheter (diskettenheter). Sårbarheten har även påverkar hypervisors som bygger på den urspungliga koden, bland annat KVM, VirtualBox och Xen. Sårbarhetn kräver dock att angriparen har fullständiga rättigheter i gästoperativysstemet. Det finns en proof-of-concept som påvisar existens av den grundläggande buffer-overflow problemet, men den i sig ger inte möjligheter till exekvering av gotycklig kod utan är endast ett sätt att testa att patchningen har gått rätt till och fått avsedd effekt. Quemu, Xen, KVM Inga kända attacker in the wild har observerats. Det finns heller inga kända faktiska exploits som kan exekvera godtyckliga kod på värden CVE The mod_l2_entry function in arch/x86/mm.c in Xen 3.4 through 4.6.x does not properly validate level 2 page table entries, which allows local PV guest administrators to gain privileges via a crafted superpage mapping. Sårbarheten medger exekvering av godtycklig kod på värden i ett paravirtualization scenario. Sårbarheten kräver fullständiga rättigheter på gästsystemet.

11 1.0 11(12) Xen (paravirtualization) Proof of concept Saknas. Allvarlig sårbarhet, The bug, which some researchers say is probably the worst ever to hit the open source project... Dock finns ingen känd exploit som lyckats utnyttja sårbarheten Begränsningar i INTEL VT-d technology. Saknas...escaping from a VT-d-protected driver domain in a virtualization system. INTEL VT är ett samlingsnamn för Intels virtualiseringsfunktioner. En av dessa, VT-d (Intel Virtualization Technology for Directed I/O), tillåter en VM att ha säker direktkontakt med fysiska enheter anslutna tillvärdsystemet via PCI, t.ex. ett nätverkskort. Dock finns det möjligheter att kringgå skyddet i denna mekanism och på så sätt nyttja möjligheter med PCI-åtkomsten för att exekvera kod på värdsystemet. Saknas. Konsvekvens Potentiellt stor konsekvens eftersom Intel inte erkänt problemet, sannolikt på grund av att flera av attackvektorerna inte är möjliga på nyare generationer av hårdvara. Ingen känd attack har observerats in the wild. Fungerande exploit saknas Best practice Generellt sett gäller samma grundläggande principer för säkerhet oavsett om miljön är virtualiserad eller inte. Viktigt att poängtera är att en virtuell maskin inte kräver mindre/färre säkerhetsåtgärder än en fysisk maskin. Dock kan några virtualiseringsspecifika kriterier identifieras: - Virtualisering inför ett helt nytt lager i infrastrukturen och medger nya typer av angreppsmöjligheter och förändrar potentiellt hur data flödar mellan olika komponenter. Således är det av stor vikt att en god förståelse för vad denna förändring innebär uppnås hos samtlig personal som skall utforma respektive förvalta lösningen. - Fysiska skyddsåtgärder (t.ex. skalskydd) blir än mer viktiga då fler funktioner och informationsmängder samlas på samma fysiska enhet, vilket av naturliga skäl kan öka konsekvensen av ett fysiskt angrepp. - Inaktivera alla möjligheter till delade resurser mellan värd- och gästsystem (t.ex. shared folders ). - Hypervisorn blir av naturliga skäl en säkerhetskritisk komponent och ska därmed behandlas som en sådan vad gäller patchning, övervakning etc. Nedan är en sammanställning av huvudsakliga åtgärder som bör vidtas: o Konfigurera hypervisorn som sådan enligt best practice.

12 1.0 12(12) o o o Begränsa åtkomsten till hypervisorn till kända/avsedda enheter (administrationsklienter) Kräv tvåfakturautentisering för åtkomst till hypervisor I övrigt samma åtgärder som vidtas för de känsligaste delarna av infrastrukturen vad gäller övervakning och ändringshantering. - Säkerställ att samma indelning av administratörsroller behålls, särskilt med tanke på en hypervisor by default medger många olika administrationsmoment som normalt bör separeras. T.ex. serveradministratör vs nätverksadministratör. - Nyttja om möjligt hypervisor av Type I. 5. Slutsats/diskussion En hypervisor är i grund och botten en programvara. En programvara kan alltid innehålla sårbarheter, och som framgår av avsnitt 4.2 är så fallet även med hypervisors. I det här fallet Dock kan man göra två intressanta observationer; inte en enda känd attack av typen av VM escape har observerats in the wild. Därmed självklart inte givet att det aldrig defacto har inträffat, det är snarare sannolikt att det har inträffat. Dock ger det en fingervisning om vidden av problematiken. Det kan även till del bekräftas av det faktum att det finns mycket få kända exploits som faktiskt lyckas nyttja identifierade sårbarheter till att exekvera kod på värdsystemet. Dessa kräver i sin tur att flera olika förutsättningar är uppfyllda. En gemensam förutsättning som krävs för att utnyttja någon av de identifierade sårbarheterna är att angriparen har fullständiga (root/system) rättigheter på värdsystemet. En annan intressant observation är att sårbarheterna i stor utsträckning berör hypervisors som bygger på öppen källkod. Man ska dock vara försiktig med att dra för stora slutsatser utifrån det. Öppen källkod innebär att vem som helst kan granska koden. Det medför även att det är väsentligt lättare att hitta potentiella sårbarheter. Av de proof-of-concepts som skrivits för dessa sårbarheter har ingen varit effektiv mot en type 1 hypervisor med rekommenderade säkerhetsinställningar. En annan relevant observation är att samtliga sårbarheter bygger på att användaren har fullständiga rättigheter i gästsystemet. Dock går det inte att komma från det faktum att en hypervisor kan utgöra en helt avgörande kritisk punkt som kan ge en angripare fullständig åtkomst över väsentliga delar av IT-miljön.