Bei vielen Gelegenheiten stoßen wir auf Schwachstellen die die ordnungsgemäße Funktion der von uns verwendeten Geräte und Systeme beeinträchtigen können. Diesmal ist es eine Sicherheitslücke, die Virtuelle Google Cloud-Maschinen in Gefahr . Eine Gruppe von Cybersicherheitsforschern hat dieses Problem gefunden, das ausgenutzt werden könnte und unerwünschten Zugriff durch einen Eindringling mit Root-Berechtigungen ermöglicht.
Ein Fehler gefährdet Google Cloud
Dieser Gruppe von Sicherheitsforschern , die alle technischen Details zu veröffentlicht haben GitHub , haben darauf hingewiesen, dass es sich um eine Schwachstelle handelt, die Phishing ermöglicht. Ein Angreifer könnte über das Netzwerk eine virtuelle Maschine auf der Google Cloud-Plattform übernehmen. Dies kann aufgrund schwacher Zufallszahlen auftreten, die von der ISC-Software auf dem DHCP-Client verwendet werden.
Was es im Grunde tut, ist Parodie dem Metadatenserver auf der virtuellen Zielmaschine. Auf diese Weise könnte der Angreifer Administratorrechte erhalten und über SSH Zugriff haben.
Damit dies gelingt, zeigen Sicherheitsforscher, besteht es aus drei Komponenten. Einer davon ist der aktuelle eindeutige Zeitpunkt, zu dem der Prozess startet, ein anderer ist der dhclient-Prozesssteuerungsalgorithmus und der dritte ist die Summe der letzten vier Bytes der MAC-Adressen der Netzwerkkarten.
Sie zeigen an, dass eine dieser drei Komponenten öffentlich ist, da die letzten Ziffern der MAC-Adresse den letzten Ziffern der internen IP-Adresse entsprechen. Auch die dhclient-Prozesssteuerungsalgorithmus ist vorhersehbar, da der Linux-Kernel es linear abbildet. Sie fanden auch nicht allzu große Schwierigkeiten, den einzigen Zeitpunkt für den Start des Prozesses vorherzusagen.
Der Angreifer müsste verschiedene DHCP-Pakete erstellen und verwenden Sie einen Satz vorberechneter XIDs. Auf diese Weise gelingt es ihm, den dhclient des Opfers zu fluten. Falls die XID korrekt ist, übernimmt die virtuelle Maschine die Netzwerkeinstellungen. Es könnte den Netzwerk-Stack des Opfers neu konfigurieren.
In welchen Szenarien könnte die virtuelle Maschine angreifen?
Außerdem hat diese Gruppe von Sicherheitsforschern angegeben, in welchen Szenarien es einem Angreifer möglich wäre, tatsächlich auf eine virtuelle Maschine zu zielen. Sie haben drei mögliche Szenarien aufgezeigt, mit denen sie vollen Zugriff erhalten könnten.
Ein solches Szenario ist, wenn Sie auf die virtuelle Maschine auf dem gleiches Subnetz beim Neustart . Dazu benötigt der Angreifer die Anwesenheit eines anderen Hosts.
Eine andere Möglichkeit besteht darin, dass es auf eine virtuelle Maschine im selben Subnetz verweist, während der Mietvertrag aktualisiert wird , etwas, das keinen Neustart erfordern würde. Dies geschieht jede halbe Stunde.
Die dritte Möglichkeit besteht darin, die virtuelle Maschine über das Internet anzugreifen. Dies würde erfordern, dass das Opfer Firewall be vollständig geöffnet . Es wäre ein unwahrscheinliches Szenario, wie sie andeuten. Außerdem müssen Sie die interne IP-Adresse des Opfers erraten.
Diese Gruppe von Sicherheitsforschern hat einen Proof of Concept erstellt, den wir auf sehen können GitHub . Darüber hinaus Beheben von Fehlern beim Hochladen von Dateien in Drive oder jeden Cloud-Dienst müssen wir uns auch der Bedeutung der Installation aller verfügbaren Patches bewusst sein. Auf diese Weise können wir Ausfälle dieser Art vermeiden.
