KVM虛擬化新型漏洞CVE-2015-6815技術(shù)分析

arron劉

0x00 前言

云計算業(yè)務(wù)目前已經(jīng)觸及到多個行業(yè)，無論是云存儲，云音樂等生活中隨處可見的業(yè)務(wù)，就連銀行金融，支付信息等服務(wù)也都和云緊密相關(guān)。作為云服務(wù)的基礎(chǔ)，虛擬化系統(tǒng)扮演著非常重要的角色，因為在云生態(tài)中主機的硬件多是由虛擬化系統(tǒng)模擬出來的。虛擬化系統(tǒng)中的安全漏洞將嚴(yán)重影響云業(yè)務(wù)的安全。

360虛擬化安全團隊（MarvelTeam）近日發(fā)現(xiàn)了多個虛擬化軟件安全漏洞，使用kvm和xen作為虛擬化平臺的公司業(yè)務(wù)都將會受這批漏洞影響。該漏洞一旦被攻擊者惡意利用，可以造成三種類型的安全風(fēng)險：1）虛擬機宕機，影響業(yè)務(wù)；2）系統(tǒng)資源被強制占用，宿主機及所有虛擬機拒絕服務(wù)；3)虛擬機逃逸，攻擊者在宿主機中執(zhí)行任意代碼。

我們將陸續(xù)公開系列針對虛擬化軟件高危0day漏洞的分析文章，揭開宿主機攻擊技術(shù)的神秘面紗。本文將首先分析KVM虛擬化新型漏洞CVE-2015-6815。

在9月29日的ISC 2015大會上，360虛擬化安全團隊（MarvelTeam）安全研究員唐青昊，將進行《云虛擬化系統(tǒng)的漏洞挖掘技術(shù)》的議題演講，進一步分享漏洞挖掘的核心技術(shù)。

0x01 關(guān)于QEMU和KVM

QEMU是一款處理器模擬軟件，可以提供用戶模式模擬和系統(tǒng)模式模擬。當(dāng)處于用戶模式模擬狀態(tài)時，將使用動態(tài)翻譯技術(shù)，允許一個cpu構(gòu)建的進程在另一個cpu上執(zhí)行。系統(tǒng)模式模擬狀態(tài)下，允許對整個pc系統(tǒng)的處理器和所使用到的相關(guān)外圍設(shè)備進行模擬。qemu提供的仿真外設(shè)包括硬件Video Graphics Array (VGA) 仿真器、PS/2 鼠標(biāo)和鍵盤、集成開發(fā)環(huán)境（IDE）硬盤和 CD-ROM 接口，以及軟盤仿真。也包括對E2000 Peripheral Controller Interconnect (PCI) 網(wǎng)絡(luò)適配器、串行端口、大量的聲卡和 PCI Universal Host Controller Interface (UHCI) Universal Serial Bus (USB) 控制器（帶虛擬 USB 集線器）的仿真。除了仿真標(biāo)準(zhǔn) PC 或 ISA PC（不帶 PCI 總線）外，QEMU 還可以仿真其他非 PC 硬件，如 ARM Versatile 基線板（使用 926E）和 Malta million instructions per second (MIPS) 板。對于各種其他平臺，包括 Power Macintosh G3 (Blue & White) 和 Sun-4u 平臺，都能正常工作。



圖1.qemu可進行模擬的外圍設(shè)備

KVM是一種依賴硬件虛擬化技術(shù)（Intel VT或者AMD V）的裸機虛擬化程序，它使用 Linux 內(nèi)核作為它的虛擬機管理程序。對 KVM 虛擬化的支持自 2.6.20 版開始已成為主流 Linux 內(nèi)核的默認(rèn)部分。KVM支持的操作系統(tǒng)非常廣泛，包括Linux、BSD、Solaris、Windows、Haiku、ReactOS 和 AROS Research Operating System。

在 KVM 架構(gòu)中，虛擬機實現(xiàn)為常規(guī)的 Linux 進程，由標(biāo)準(zhǔn) Linux 調(diào)度程序進行調(diào)度。事實上，每個虛擬 CPU 顯示為一個常規(guī)的 Linux 進程。這使 KVM 能夠享受 Linux 內(nèi)核的所有功能。設(shè)備模擬由提供了修改過的 qemu 版本來完成。

0x02 QEMU網(wǎng)卡設(shè)備簡介

QEMU支持多種網(wǎng)卡設(shè)備，可以通過如下的命令去列舉所支持的網(wǎng)卡設(shè)備類型，一共有8種，基本可以滿足大多數(shù)操作系統(tǒng)的需求。



圖2.qemu支持的虛擬網(wǎng)卡設(shè)備

此次漏洞出現(xiàn)在e1000網(wǎng)卡設(shè)備中，該網(wǎng)卡的基本功能等同于Intel rc82540EM硬件網(wǎng)卡，支持TSO技術(shù)，網(wǎng)絡(luò)數(shù)據(jù)傳輸效率極高。

0x03 漏洞分析

CVE-2015-6815是qemu軟件的虛擬網(wǎng)卡設(shè)備存在的一處邏輯漏洞，攻擊者可通過構(gòu)造惡意的數(shù)據(jù)流觸發(fā)該漏洞。 我們分析網(wǎng)卡在處理惡意數(shù)據(jù)流時執(zhí)行的邏輯：

a）網(wǎng)卡驅(qū)動向網(wǎng)卡設(shè)備發(fā)送指令，通知網(wǎng)卡設(shè)備執(zhí)行數(shù)據(jù)發(fā)送操作； b）set_tctl(E1000State *s, int index, uint32_t val)

當(dāng)網(wǎng)卡設(shè)備判斷已經(jīng)設(shè)置相關(guān)寄存器，即開始進行發(fā)包操作，進入set_tctl函數(shù)中進行相關(guān)處理，函數(shù)原型如下：

c) start_xmit(E1000State *s)

start_xmit函數(shù)首先檢查(s->reg[TCTL]&E1000_TCTL_EN)，若等于0，表示沒開啟發(fā)送功能，將直接退出。否則判斷是否存在有效的描述符，有的話則依次取出描述符交給process_tx_desc處理。

d)存在漏洞的函數(shù)源碼如下：




圖3.存在漏洞的函數(shù)代碼

根據(jù)注釋，可以清晰地看到，該函數(shù)的主要目的是按照3種類型來處理網(wǎng)卡數(shù)據(jù)描述符表中的單個描述符，分別是context descriptor，data descriptor，legacy descriptor，這三種類型代表了不同的數(shù)據(jù)內(nèi)容：描述信息，數(shù)據(jù)，遺留信息，網(wǎng)卡通過判斷處于何種類型，設(shè)置s->tx的狀態(tài)位，然后根據(jù)tp->tse 和 tp->cptst來確定是否要調(diào)用xmit_seg函數(shù)以及怎樣填充buf,由于函數(shù)對驅(qū)動傳進來描述符的內(nèi)容沒有檢測,可設(shè)置成任意值。xmit_seg函數(shù)根據(jù)s->tx中各字段的信息來填充s->data,最后調(diào)用qemu_send_packet函數(shù)發(fā)送s->data,qemu_send_packet(nc, buf, size)。

在該函數(shù)的執(zhí)行過程中，攻擊者通過惡意的數(shù)據(jù)流，可以控制該函數(shù)中的tp->hdr_len和tp->mss數(shù)據(jù)的值,而 msh = tp->hdr_len + tp->mss。在進入do...while 循環(huán)之后，tp->size值為0，而bytes和msh的值可以控制，通過迫使代碼邏輯進入第一個if循環(huán)，可將bytes設(shè)置為msh的值，即bytes也可以被控制。之后，bytes可以一直保持值不變，直至進入while的條件判斷語句，此時如果bytes為0，則do...while進入死循環(huán)的邏輯。

0x04 漏洞危害

攻擊者利用該漏洞可以導(dǎo)致虛擬機拒絕服務(wù)，并且保持對cpu的高占用率，繼而會影響宿主機以及其他虛擬機的正常執(zhí)行。

我們在測試環(huán)境中對該漏洞進行測試，觸發(fā)前后的截圖如下�？梢钥吹�，在漏洞觸發(fā)后宿主機的空閑cpu百分比一直鎖定為為0%。



圖4.觸發(fā)漏洞前



圖5.觸發(fā)漏洞后

0x05 漏洞修補方案

360虛擬化安全團隊（MarvelTeam）在發(fā)現(xiàn)了該漏洞之后，第一時間通知QEMU軟件官方團隊進行修復(fù)。官方在20天的緊張修復(fù)之后，在9月5日完成對該漏洞的修復(fù)補丁。詳細(xì)信息見access.redhat.com/security/cve/CVE-2015-6815，該網(wǎng)頁也包含了360虛擬化安全團隊的致謝。

官方對該漏洞的修補方法如下：



圖6.官方提供的漏洞補丁

在該補丁中，開發(fā)人員加入了對漏洞關(guān)鍵數(shù)據(jù) – bytes樹值的判斷，如為0，則退出循環(huán)，完美修復(fù)漏洞。建議所有使用qemu的廠商采用該補丁，防止攻擊者對在虛擬機中利用CVE-2015-6815漏洞。


更多詳情請參閱：青云社區(qū)。

xinglp

集成開發(fā)環(huán)境（IDE） 這里是誰翻譯的