Post on 15-Dec-2014
description
1
Tous droits réservés/ Copyright © 2009 BPR 1
La virtualisation : des failles biens réelles ou
virtuelles?
David GirardExpert conseil sécuritéBPR-TIC
Infectée
2
Tous droits réservés/ Copyright @ 2009 BPR2
Infectée
Avertissement
Je vais principalement parler des produits les plus populaires comme VMWare, famille Xen/ Citrix et Microsoft Hyper-V.
Je ne parlerai pas de Parallels, Intel VT-x, AMD-V ou d’un obscur système d’exploitation de mainframe qui fait de la virtualisationdepuis longtemps.
3
Tous droits réservés/ Copyright @ 2009 BPR3
Infectée
Mise en situation
Les chercheurs en sécurité et les firmes de sécurité vous disent que vous êtes à risque et que vous devez acheter leurs solutions.
Les vendeurs de virtualisation vous disent que la virtualisation ou le « cloud computing » va tout régler.
De quelle couleur sont vraiment les nuages de la virtualisation?
4
Tous droits réservés/ Copyright @ 2009 BPR4
Infectée
La virtualisation va tout régler
� Elle va diminuer vos coûts d’exploitation en baissant vos coûts de matériel, énergie, immobilisation, etc.
� Vous serez plus « green »! Elle va régler le réchauffement de la planète à elle seule.
� Augmenter la productivité de vos administrateurs (ratio serveur/administrateur plus élevé…).
� Vous aurez de la haute disponibilité, du recouvrement en cas de désastre et de la continuité des affaires.
5
Tous droits réservés/ Copyright @ 2009 BPR5
Infectée
Le marché
� La virtualisation est le marché qui augmentera le plus en TI cette année selon IDC.
� 40% des serveurs seront virtualisés� Les 4 éléments de motivation à utiliser la
virtualisation sont: 1. L’utilisation par de plus en plus de gens.2. Coût au pied carré3. Alimentation électrique et refroidissement4. Administration et maintenance
� 200 serveurs virt./admin au lieu de 50 serveurs/admin
6
Tous droits réservés/ Copyright @ 2009 BPR6
Infectée
La virtualisation est insécure…
� Les présentations de chercheurs à DevCon, Black Hat et autres se succèdent. Le « cloud computing » est dangereux et piratable.
� Les outils, les preuves de concept (Bluepill, Vitriol, Xensploit) et les Whites papers des firmes de sécurité font leur apparition.
� « Hypervisor Attacks and Hurricanes are inevitable… » Le marketing de la peur est enclenché! Sans nos produits votre organisation va mourir dans un incident apocalyptique. Évangile selon Saint-Gartner, verses Blog. Repentez-vous et sécurisez-vous!
7
Tous droits réservés/ Copyright @ 2009 BPR7
Infectée
Statistiques sur les vulnérabilités
914668127Total VMWare
10392VMWare ESX 4i
11454VMWare ESX 4
101913VMWare ESX 3i
0721636VMWare ESX 3
0414029VMWare ESX 2
21517VMWare Server 2
114813VMWare Server 1
205412VMWare Desktop
105611VMWare Player
211912Total Famille Xen
0000Citrix Xen Desktop
0000Citrix Xen App
0022Citrix Xen Server
211710Xen 3.x
0011153Total Microsoft
0022Hyper-V / Virtual PC Server
0010951Windows 2008
Pas corrigéPartiellement réglé# vulnérabilitésCorrectifs
/AlertesLogiciel
Source : Secunia de 2003 à octobre 2009
Note: La famille ESX et Xen héritent de beaucoup de failles des OS Linux. Ces vulnérabilités n’ont pas été comptabilisées pour l’instant.
8
Tous droits réservés/ Copyright @ 2009 BPR8
Infectée
Donc c’est réel! Plusieurs vulnérabilités
1. Il y a des vulnérabilités mais sont-elles exploitables ?
2. Est-ce que le côté obscure s’y intéresse ou si cela n’est qu’académique?
3. Comment pouvons-nous attaquer une infrastructure virtuelle et comment pouvons nous la défendre ultimement?
9
Tous droits réservés/ Copyright @ 2009 BPR9
Infectée
Les vulnérabilités sont t-ellesexploitables?
Si l’on prend ESX 3 et que l’ont vérifie les vulnérabilités qui ont été rendu publiques, plus de la moitié sont exploitables à distance. La majorité ne permet pas un accès àl’hyperviseur, elles permettent par contre dans la grande majorité le DoS et l’exposition d’informations.
10
Tous droits réservés/ Copyright @ 2009 BPR10
Infectée
Exemple :ESX 3.x en 2009
À distance DoS, accès au système 3/502-02-2009SA33746
À distance DoS1/502-02-2009SA33776
À distance
Contournement de la sécurité, Expositions d'informations sensibles, exposition d'informations sur le système, Cross Site Scripting3/524-02-2009SA34013
À distance Usurpation, accès au système3/501-04-2009SA34530
Système localExposition d'informations sensibles1/506-04-2009SA34585
Système localContournement de la sécurité2/513-04-2009SA34697
Système localDoS1/529-05-2009SA35269
À distance DoS, accès au système 4/501-07-2009SA35667
À distance
Contournement de la sécurité, Expositions d'informations sensibles, exposition d'informations sur le système, Escalade des privilèges, DoS, accès au système4/519-10-2009SA37081
Système localEscalade des privilège2/528-10-2009SA37172
Réseau localExposition d'informations sensibles2/528-10-2009SA37186
Provenace de l'attaqueImpacteSévéritéDateNo. bulletin
Source: Secunia Commentaire: En jaune, on retrouve des vulnérabilités qui n’ont pas été complètement réparées.
11
Tous droits réservés/ Copyright @ 2009 BPR11
Infectée
Virtualisation 101
Avant de parler des vulnérabilités, voici un court aperçu des composants de la virtualisation et des types d’hyperviseurs.
Ne pas montrer au Hackfest car ils ne sont pas des gestionnaires!
12
12
3
4
5
6
7
8
13
Tous droits réservés/ Copyright @ 2009 BPR13
Infectée
Les hyperviseurs pour les nuls
Réseau
Ordinateur
Ressources partagés de
l’ordinateur
Environnement
matériel
Disques partagés
Mémoire partagée
Hyperviseur
Logiciel qui prétend être
du matériel
Réseau partagé
Carte réseau virtuelle
VM
Machine Virtuelle
Disques virtuels
OS Kernel
Applications
� L’hyperviseur est un logiciel de type Xen ou VMWare ESX.
� Il y a les hyperviseurs de type 1 et de type 2;
� Les VM (pas besoin d’explications);
� Il y a aussi la console de gestion qui contrôle les différents hyperviseurs et VM.
� La migration, représente le transfert via le réseau d’une VM, d’un Hyperviseur à un autre à des fins de haute disponibilité.
14
Tous droits réservés/ Copyright @ 2009 BPR14
Infectée
Type 1 versus Type 2
Type 1: Plus robuste et plus orienté production.
Type 2: Moins robuste. Parfait pour les environnements de tests.
ESX Server
Hypervisor Type 1 (OS propriétaire durci)
Console
vSwitch vSwitch
VM VM VM VM
Serveur Physique
VM VM VM VM
Hypervisor Type 2
Console
vSwitch vSwitch
VM VM VM VM
Serveur Physique
VM VM VM VM
OS (Windows ou Linux)
VMWare Server VMWare Workstation et player sont aussi des types 2.
15
Tous droits réservés/ Copyright @ 2009 BPR15
Infectée
Types 1 versus Type 2
3845984VMWare Type 2
6220943VMWare Type 1
Pas corrigéPartiellement réglé# vulnérabilitésCorrectifs
/AlertesLogiciel
Les types 2 sont donc mathématiquement plus vulnérables! C’est aussi ce que l’on peut vérifier en analysant la nature des vulnérabilités. Elles sont plus sévères, probables et faisables. On peut souvent passer de la VM àl’hyperviseur et vice versa avec les vulnérabilités trouvées dans le type 2.
De plus, avec le type 2, il faut calculer vulnérabilités totales = vulnérabilités de l’OS sous jacent + les vulnérabilités de l’hyperviseur + les vulnérabilités de l’OS de la VM. Beaucoup de possibilités d’exploitation!
Exemple :Le directory traversal des produits VMWare pour PC en février 2008.
16
Tous droits réservés/ Copyright @ 2009 BPR16
Infectée
Surface d’attaque
1. Composants de gestion2. Infrastructure virtuelle (ex: vmkernel, vmsafe)3. Infrastructure physique (hyperviseur + san…)
primaire4. Infrastructure physique de relève5. Les machines virtuelles et les appliances6. Les équipements de gestions externes7. Les liens externes de l’infrastructure virtuelle8. Les hyperviseurs de type 2 et les postes de travail
virtualisés qui sont sur le réseau de l’organisation9. Les administrateurs d’infrastructures virtuelles
17
Tous droits réservés/ Copyright @ 2009 BPR17
Infectée
Les possibilités d’attaques1. Attaques sur l’infrastructure de gestion (XSS, DoS, etc) ;2. Attaques sur les machines virtuelles (une VM ou de ou VM à VM «
VM hopping »3. « Jail breaking », VM à Hyperviseur (plus répendu sur les types 2)4. Side channel attack. L’hyperviseur envoit des informations à une VM
qui expose des secrets à une autre VM. Survient si le réseau virtuel est mal configuré : promiscuos mode enabled.
5. Attaques sur le réseau virtuel :Attaques sur les services de réplication comme vMotion ou si le MAC spoofing est permis sur la vSwitch. Si le réseau virtuel n’est pas bien segmenté et que par exemple, on a des VM d’une zone publique et d’une zone privée sur une même vSwitch, vous exposez votre réseau interne à des attaquants externes.
6. Attaques sur l’OS sous-jacent dans le cas des hyperviseur de type 2.
18
Tous droits réservés/ Copyright @ 2009 BPR18
Infectée
Les possibilités d’attaques (suite)
7. Attaques sur la couche de persistance. On trouve souvent lors d’audits des fichiers VMDK en partage sur le réseau ou des SAN qui ont le mot de passe par défaut du fabriquant. N’oublier pas que iSCSI passe ses authentifiant en clair sur le réseau avec VMWare (activez CHAP mais avec un MiTM vous verrez tout quand même si vous lancez votre attaque avant l’authentification). Si le réseau local n’est pas adéquatement segmenté, vous exposez alors vos données à tous les utilisateurs du LAN.
8. Sabotage de la part de l’administrateur de l’infrastructure virtuelle.9. Attaque via le Clipboard entre la console et une VM compromise.10. Directory traversal (ex: VMWare Workstation, partage)11. XSS sur un composant de l’hyperviseur. Ex: VMWare Player.12. Attaque sur les fichiers de logs. Log Abuse. DoS.13. Attaque SNMP. Certains supportent SNMP 1 et sont très bavard.
Exigez 2c ou 3.
19
Tous droits réservés/ Copyright @ 2009 BPR19
Infectée
Les possibilités d’attaques (suite)
14. Idée: exploiter une faille dans un produit VMSafe. Être le ownerd’un appliance virtuel de sécurité vous donnera un contrôle ou une vue imprenable de l’infrastructure virtuelle. Ex: Comme les failles dans Snort ou dans un produit similaire.
15. Rootkit à la BluePill ou Vitriol.16. Fausses mises à jour. Vérifier vos hash! Ingénierie sociale sur
l’administrateur de l’infrastructure virtuelle. Faux programme de transfert SCP…
17. Exploitation de l’API VIX.18. Exploiter des VM ou des vSwitche mal isolées.19. Attaquer la console.
20
Tous droits réservés/ Copyright @ 2009 BPR20
Infectée
Intérêt des pirates pour la virtualisation
� Durant les deux dernières années nous avons vu que certains code malicieux ne s’exécutent pas dans un environnement virtuel afin de contrer leur analyse dans des zoo virtuels.
� Mais de plus en plus, les routines anti-analyse et anti-forensic sont de plus en plus ciblés sur les outils d’analyses plutôt que sur les environnements. Mais on peut les déjouer facilement en renommant les outils.
21
Tous droits réservés/ Copyright @ 2009 BPR21
Infectée
Les listings de détection de zoo font légion sur certains sites
BOOL IsJB(){
if(IsProcessRunning("joeboxserver.exe") == 1 || IsProcessRunning("joeboxcontrol.exe") == 1){
detected = 1;return 1;
}
return 0; }
22
Tous droits réservés/ Copyright @ 2009 BPR22
Infectée
Le côté obscur et le cloud
� La virtualisation des postes de travail (VDI) est de plus en plus à la mode et les postes de travail sont la base des botnets.
� Les postes virtualisés statiques sont réinitialisés chaque jour et mis à jour constamment. Pas très bon pour un bot.
� Les postes virtualisés dynamiques sont de meilleures cibles car ils sont plus similaires au postes traditionnels. Mais ils seront moins nombreux.
� Compte tenu de l’évolution du marché vers la virtualisation, les pirates vont s’adapter ou faire place à d’autres: Cyber Darwinisme.
23
Tous droits réservés/ Copyright @ 2009 BPR23
Infectée
Comment se protéger
1. Gestion des accès (rôles) et de l’authentification serré.2. Définir des serveurs ESX pour des tâches différentes et
des niveaux de sécurité différents.3. Sécurité de la persistance « Storage ».4. Sécuriser la console5. Séparation des tâches entre les administrateurs.6. Mettre à jour les composants.7. Sécuriser les réseaux physiques et virtuels.
24
Tous droits réservés/ Copyright @ 2009 BPR24
Infectée
Comment se protéger (suite)
9. Mettre place une infrastructure de journalisation et de surveillance adéquate.
10. Implanter une solution de sécurité qui tire profit de VMSafe ou l’équivalent.
11. Durcir et protéger les VM elles mêmes.12. Effectuer le durcissement de l’environnement virtuel
(voir références à la fin). 13. Balayer les environnements virtuels avec des
scanneurs de vulnérabilités régulièrement.14. Sécuriser les applications qui sont dans les VM car
elles peuvent compromette les VM.
25
Tous droits réservés/ Copyright @ 2009 BPR25
Infectée
Références
� VMWare Infrastructure 3.5 Hardening, VMWare� CIS VMWare ESX Server Benchmark, CIS� ESX Server Security Technical Implementation Guide,
DISA� Xen Server Security Technical Implementation Guide,
DISA� DMZ Virtualisation with VMWare Infrastructure, VMWare� VM Security Technical Implementation Guide, DISA� www.secunia.com
26
Tous droits réservés/ Copyright @ 2009 BPR26
Infectée
Commentaires
� Connaissez-vous une technologie de « cloudcomputing » qui soit mature et opérationnelle depuis longtemps?
� La plupart des organisations ne le savent pas mais elles ont un nuage privé!
Moi, oui, on appel cela un botnet!
C’est juste que ce nuage ne vous appartient plus. Vous n’êtes qu’un hébergeur!
Pour reprendre le contrôle de votre nuage, appelez nous!
27
David.Girard@bpr.caBPR Énergie514-597-2427 poste 3036
Questions
Tous droits réservés /Copyright © 2009 BPR