系统管理程序hypervisor潜在的攻击方式有2种形式,从网络层或从hypervisor运行的主机上。hypervisor默认是通过标准的TCP/IP协议来响应连接,像其它台式机、设备或基础设施,这样就会导致虚拟机管理程序hypervisor暴漏在网络上,很容易遭受到传统网络扫描软件攻击,如nmap(nmap.org)和Nessus。虽然扫描工具主要用作发现机制,他们往往能够通过分析主机返回的特征和信息提取有关系统的详细信息。目前使用最多的扫描软件是namp。这种方法的例子是通过置顶’-O’ 选项,其对软件的一个大数据库比较对主机数据包的响应, 一旦有关主机这些信息以被确定,或者采用另一种方法对主机进行盘问来进一步识别属性,如补丁级别的服务包。根据研究发现,使用这些软件,攻击者能够确定合适的CVE(Common Vulnerabilities & Exposures,公共漏洞和暴露),该主机可能是脆弱的。该漏洞已经被发现后,攻击者利用该漏洞,插入一个有效的载荷,以进一步控制主机和维护接入该系统。可以利用系统和插入恶意有效载荷的软件如Metasploit和 CORE Impact。扫描和利用这些方法已经被安全人员所熟识,因为和扫描普通的客户端是一样的流程。
虚拟机(VM)逃逸是打破了一个隔离的VM。是攻击者将代码在一个虚拟机内运行起来,然后直接与虚拟机管理程序进行代码交互,达到进入主机操作系统和其他主机上运行的虚拟机,以便在主机上执行恶意代码。已经有许多漏洞针对Type1和2管理程序hypervisor的逃逸((CVE-2009-1244, CVE-2011-1751, CVE-2012-0217 (Xen, 2012), CVE-2012-3288). 而type2型hypervisor逃逸的是一个危险的危险,而type1类型hypervisor对xen或ESXi影响更大,由于环境中,常部署在传统网络中,安全性往往通过vlan或虚拟网络来加强,这种只是提供了一个安全的网络层,而不是在主客体的这层。而作为相对活跃的虚拟机未打补丁,可能会增加曝光托管在同一虚拟管理程序hypervisor/硬件作为域控制器或其他高价值目标服务器的地址,也可能给带来实际的威胁。
专家认为,网络不应该依赖传统的安全措施,因为它们不能抵御每个虚拟机的威胁。到目前为止,大多数组织都在反应有关虚拟环境的安全问题,以及不断涌现的新攻击、漏洞利用程序和漏洞验证性触发代码(proof of concept)。
使用Nmap扫描的结果(部分)
111/tcp open rpcbind 5901/tcp open vnc VNC (protocol 3.8) 5904/tcp open vnc VNC (protocol 3.8) 6001/tcp open X11 (access denied) 8649/tcp open ganglia Ganglia XML Grid monitor 3.5.0 (Cluster name: unspecified; Owner: unspecified; Source: gmond) 8651/tcp open tcpwrapped 8652/tcp open tcpwrapped MAC Address: 00:25:xxx (Super Micro Computer) No exact OS matches for host (If you know what OS is running on it, see http://nmap.org/submit/ ). TCP/IP fingerprint: OS:SCAN(V=5.51%D=4/2%OT=22%CT=1%CU=30456%PV=Y%DS=1%DC=D%G=Y%M=002590%TM=533 OS:BCD4C%P=x86_64-redhat-linux-gnu)SEQ(SP=105%GCD=1%ISR=10B%TI=Z%CI=Z%II=I% OS:TS=A)OPS(O1=M5B4ST11NW7%O2=M5B4ST11NW7%O3=M5B4NNT11NW7%O4=M5B4ST11NW7%O5 OS:=M5B4ST11NW7%O6=M5B4ST11)WIN(W1=3890%W2=3890%W3=3890%W4=3890%W5=3890%W6= OS:3890)ECN(R=Y%DF=Y%T=40%W=3908%O=M5B4NNSNW7%CC=Y%Q=)T1(R=Y%DF=Y%T=40%S=O%
