SlideShare ist ein Scribd-Unternehmen logo

Virtually Pwned: Hacking VMware [ITA - SMAU10]

Als PPT, PDF herunterladen
Claudio Criscione
Claudio Criscione

Queste slide sono state presentate a SMAU Milano 2010, il 20 Ottobre.

Technologie
1 von 50
Virtually Pwned Hacking VMware Claudio Criscione @paradoxengine – c.criscione@securenetwork.it
/me Claudio Criscione
Il contesto
Violare la virtualizzazione significa... … hacking “al di sotto” … accedere direttamente ai sistemi … aggirare controlli di permessi o network-level … colpire più “bersagli” contemporaneamente Il tutto, probabilmente su sistemi non aggiornati e su un ristretto numero di soluzioni Parliamo del 96% delle Fortune 1000 * * http://www.vmware.com/company/customers/
Quindi? E' un problema interessante Esistono veramente degli attacchi Quali sono e come ci si difende ? ! ?
L'elefante nel salotto
Fuga dalla Virtual Machine ,[object Object],[object Object],[object Object],[object Object],[object Object]
Strumenti Del Mestiere
Nemmeno uno...
VASTO Virtualization ASsessment TOolkit E' un “ exploit pack ” per Metasploit specializzato nella sicurezza della Virtualizzazione e del Cloud. La beta 0.4 è in corso di pubblicazione. La 0.3 è già su vasto.nibblesec.org Tnx to Luca Carettoni, Paolo Canaletti, drk1wi per l'aiuto.
VMware.zip ,[object Object],[object Object],[object Object],[object Object],[object Object]
Il Piano
Adoro i piani ben riusciti Con gli occhi del nemico... 1 – Ricognizione 2 – Attacco 3 – Difesa
Ricognizione
Locale – questa è una VM? Facile – Verifichiamo il MAC, i processi Non così facile – accesso all'hardware (CPU, RAM) Remoto – trova la virtualizzazione... Identifichiamo i servizi di rete Utile per scoprire virtualizzazione “nascosta” Come e dove
vmware_version Usa una API SOAP ad-hoc, disponibile nella maggior parte dei prodotti VMware Utilizza le principale funzionalità degli scanner Metasploit, quindi funziona su range di IP, si interfaccia con i database e così via... […] <RetrieveServiceContent xmlns=amp;quot;urn:internalvim25amp;quot;> <_this type=amp;quot;ServiceInstanceamp;quot;> ServiceInstance </_this> </RetrieveServiceContent> [ … ]
Un attacco a strati
 
 
Attacco al client Take the admin, take the world
VI Client Auto Update
clients.xml <ConfigRoot> <clientConnection id=&quot;0000&quot;> <authdPort>902</authdPort> <version> 3 </version> <patchVersion>3.0.0</patchVersion> <apiVersion>3.1.0</apiVersion> <downloadUrl>https://*/client/VMware-viclient.exe</downloadUrl> </clientConnection> </ConfigRoot>
vmware_vilurker Questo modulo consente di ottenere user-assisted code execution a partire da una situazione di Man In The Middle . Praticamente nessuno usa certificati trusted. Niente code signing .
 
Al bersaglio
vmware_guest_stealer CVE-2009-3733 Questo path traversal è stato scoperto e reso pubblico da Flick e Morehouse alla fine dello scorso anno. L'exploit è stato integrato in VASTO. Può essere usato per recuperare qualsiasi file come root , ivi incluse macchine virtuali. Funziona su ESX, ESXi, Server non aggiornati.
 
vmware_updatemanager_traversal JETTY-1004 VMware Update Manager utilizza Jetty 6.1.16 Normalmente installato sul sistema vCenter Jetty 6.1.16 è vulnerabile ad un path traversal Ecco la magia: /vci/downloads/health.xml/%3F/../../../../../../../../../$FILE
Ok, possiamo leggere qualsiasi file come System. E allora? Seguitemi...
Mr Vpxd-profiler-*, suppongo File di “debug” prodotto da vCenter. Indovina cosa c'è dentro... /SessionStats/SessionPool/Session/Id='06B90BCB-A0A4-4B9C-B680-FB72656A1DCB'/Username=‘FakeDomainFakeUser '/ SoapSession/Id ='AD45B176-63F3-4421-BBF0-FE1603E543F4'/Count/total 1
Dove mettiamo questo SOAP ID?
La soluzione
vmware_session_rider Usare la sessione non è semplicissimo: timeout, chiamate sequenziali e dipendenti. Il modulo agisce da proxy simulando la sessione di un altro utente . Consente di effettuare un finto login per ingannare il vSphere client. Session_rider + traversal = vmware_autopwn
Bonus! Accesso in sola lettura al server vCenter = controllo del sistema!
 
Una solida interfaccia Web & Complessa XSS vari URL Forwarding BONUS: La keyword di shutdown non è stata modificata: shutdown di Tomcat (locale)
vmware_webaccess_portscan CVE-2010-0686 “ URL Forwarding” in realtà significa POST arbitrari su sistemi remoti. Possiamo usare l'interfaccia web di VMware come “proxy” verso altri sistemi web, o per effettuare portscan!
Attacco al backend vCenter si collega ai server ESX via SSL [SOAP] Normalmente, i certificati non sono “trusted” Vediamolo in un bellissimo* grafico SSL [Cert1] vCenter SSL [CertA] SSL [CertB] *Diagram powered by ORACLE's Open Office Sarà sicuramente più bello con LibreOffice ESXb ESXa
Backend blues ,[object Object],[object Object],[object Object],[object Object]
Se nulla ha funzionato...
vmware_login Puoi sempre fare bruteforce! Il modulo vmware_login lavora sullo standard metasploit. Local Administrator, root: no lockout (by default) Bruteforce efficace .
 
Che altro? Numerosi vettori per escalation of privileges. Saranno inclusi in VASTO in futuro Spesso a bassissimo livello: I/O Ports, PCI ports... Che altro?
Nuove frontiere dell'attacco Paravirtualization e software di supporto
vmware_sfcb_exec CVE-2010-2667 Una vulnerabilità nella Virtual Appliance Management Infrastructure che consente di eseguire codice come root. Richiede autenticazione, OPPURE può essere eseguita localmente.
L'attacco <?xml version=&quot;1.0&quot; encoding=&quot;UTF-8&quot;?> <CIM CIMVERSION=&quot;2.0&quot; DTDVERSION=&quot;2.0“> <MESSAGE ID=&quot;13&quot; PROTOCOLVERSION=&quot;1.0“> <SIMPLEREQ><METHODCALL NAME=&quot;SetServerName“> <LOCALCLASSPATH> <LOCALNAMESPACEPATH> <NAMESPACE NAME=&quot;root&quot;/><NAMESPACE NAME=&quot;cimv2&quot;/> </LOCALNAMESPACEPATH> <CLASSNAME NAME=&quot;VAMI_NetworkSetting&quot;/> </LOCALCLASSPATH> <PARAMVALUE NAME=&quot;HostName&quot; PARAMTYPE=&quot;string“> <VALUE>121 ;$(echo${IFS}ls${IFS}-l)>/tmp/echo </VALUE> </PARAMVALUE> </METHODCALL> </SIMPLEREQ></MESSAGE></CIM>
Can we attack virtualization?
Riassumendo Possiamo attaccare il client via sniff della password o controllare il sistema dell'admin. Possiamo aggredire l'hypervisor ed i suoi componenti core (via path traversal ) Possiamo prendere il controllo delle sessioni degli altri utenti. Possiamo aggredire l'interfaccia web . Possiamo sfruttare vulnerabilità nei servizi di supporto . C'è decisamente un problema!
Domande
E ora? Riconsiderate la strategia di virtualizzazione sicura Keep on hacking! Claudio Criscione Twitter - @paradoxengine Email - [email_address] Blog & Download - vasto.nibblesec.org Work & Virtualization PenTest – securenetwork.it

Empfohlen

PHP Object Injection
PHP Object InjectionPHP Object Injection
PHP Object InjectionMinded Security
 
PHP Object Injection in Joomla...questo sconosciuto!
PHP Object Injection in Joomla...questo sconosciuto!PHP Object Injection in Joomla...questo sconosciuto!
PHP Object Injection in Joomla...questo sconosciuto!_EgiX
 
Node.js - Server Side Javascript
Node.js - Server Side JavascriptNode.js - Server Side Javascript
Node.js - Server Side JavascriptMatteo Napolitano
 
Hackers vs Developers - Cross Site Scripting (XSS) Attacco e difesa
Hackers vs Developers - Cross Site Scripting (XSS) Attacco e difesaHackers vs Developers - Cross Site Scripting (XSS) Attacco e difesa
Hackers vs Developers - Cross Site Scripting (XSS) Attacco e difesaSimone Onofri
 
Cuckoo Sandbox: Automated malware analysis
Cuckoo Sandbox: Automated malware analysisCuckoo Sandbox: Automated malware analysis
Cuckoo Sandbox: Automated malware analysisjekil
 
PHP Object Injection Demystified
PHP Object Injection DemystifiedPHP Object Injection Demystified
PHP Object Injection Demystified_EgiX
 
Java Advanced
Java AdvancedJava Advanced
Java AdvancedAntonio Furone
 
Defending against Java Deserialization Vulnerabilities
Defending against Java Deserialization Vulnerabilities Defending against Java Deserialization Vulnerabilities
Defending against Java Deserialization VulnerabilitiesLuca Carettoni
 

Empfohlen

PHP Object Injection
PHP Object InjectionPHP Object Injection
PHP Object InjectionMinded Security
 
PHP Object Injection in Joomla...questo sconosciuto!
PHP Object Injection in Joomla...questo sconosciuto!PHP Object Injection in Joomla...questo sconosciuto!
PHP Object Injection in Joomla...questo sconosciuto!_EgiX
 
Node.js - Server Side Javascript
Node.js - Server Side JavascriptNode.js - Server Side Javascript
Node.js - Server Side JavascriptMatteo Napolitano
 
Hackers vs Developers - Cross Site Scripting (XSS) Attacco e difesa
Hackers vs Developers - Cross Site Scripting (XSS) Attacco e difesaHackers vs Developers - Cross Site Scripting (XSS) Attacco e difesa
Hackers vs Developers - Cross Site Scripting (XSS) Attacco e difesaSimone Onofri
 
Cuckoo Sandbox: Automated malware analysis
Cuckoo Sandbox: Automated malware analysisCuckoo Sandbox: Automated malware analysis
Cuckoo Sandbox: Automated malware analysisjekil
 
PHP Object Injection Demystified
PHP Object Injection DemystifiedPHP Object Injection Demystified
PHP Object Injection Demystified_EgiX
 
Java Advanced
Java AdvancedJava Advanced
Java AdvancedAntonio Furone
 
Defending against Java Deserialization Vulnerabilities
Defending against Java Deserialization Vulnerabilities Defending against Java Deserialization Vulnerabilities
Defending against Java Deserialization VulnerabilitiesLuca Carettoni
 
Web Application Insecurity Uncensored
Web Application Insecurity UncensoredWeb Application Insecurity Uncensored
Web Application Insecurity Uncensoredjekil
 
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013Simone Onofri
 
Hackers vs. Developers: Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs. Developers: Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013Hackers vs. Developers: Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs. Developers: Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013Codemotion
 
Meetmagento 2014 hackers_onofri
Meetmagento 2014 hackers_onofriMeetmagento 2014 hackers_onofri
Meetmagento 2014 hackers_onofriSimone Onofri
 
Sicurezza della virtualizzazione - SMAU 2009
Sicurezza della virtualizzazione - SMAU 2009Sicurezza della virtualizzazione - SMAU 2009
Sicurezza della virtualizzazione - SMAU 2009Claudio Criscione
 
Simulazione di un Penetration Test
Simulazione di un Penetration TestSimulazione di un Penetration Test
Simulazione di un Penetration TestSalvatore Lentini
 
Web Application Insecurity L D2007
Web Application Insecurity L D2007Web Application Insecurity L D2007
Web Application Insecurity L D2007jekil
 
Sicurezza delle applicazioni web eseguire web application penetration test co...
Sicurezza delle applicazioni web eseguire web application penetration test co...Sicurezza delle applicazioni web eseguire web application penetration test co...
Sicurezza delle applicazioni web eseguire web application penetration test co...Simone Onofri
 
Help Framakey WebApps
Help Framakey WebAppsHelp Framakey WebApps
Help Framakey WebAppsroberto marcolin
 
Malware Analysis. A Case Study
Malware Analysis. A Case StudyMalware Analysis. A Case Study
Malware Analysis. A Case StudyGianni Amato
 
Webreevolution 2013 - Gualtiero Santucci - Sicurezza Wordpress
Webreevolution 2013 - Gualtiero Santucci - Sicurezza WordpressWebreevolution 2013 - Gualtiero Santucci - Sicurezza Wordpress
Webreevolution 2013 - Gualtiero Santucci - Sicurezza Wordpressguaio2013
 
Cryptolocker come limitare il rischio
Cryptolocker come limitare il rischioCryptolocker come limitare il rischio
Cryptolocker come limitare il rischioMario Mancini
 
WordPress Facilissimo: guida alla sicurezza
WordPress Facilissimo: guida alla sicurezzaWordPress Facilissimo: guida alla sicurezza
WordPress Facilissimo: guida alla sicurezzaFlavius-Florin Harabor
 
Hackers vs developers: progettere le applicazioni mobile tra OWASP e OSSTMM
Hackers vs developers: progettere le applicazioni mobile tra OWASP e OSSTMMHackers vs developers: progettere le applicazioni mobile tra OWASP e OSSTMM
Hackers vs developers: progettere le applicazioni mobile tra OWASP e OSSTMMSimone Onofri
 
sicurezza e php
sicurezza e phpsicurezza e php
sicurezza e phpCe.Se.N.A. Security
 
Devianze
DevianzeDevianze
Devianzescrivano
 
Sicurezza WordPress: rendere il tuo sito sicuro in 10 passi
Sicurezza WordPress: rendere il tuo sito sicuro in 10 passiSicurezza WordPress: rendere il tuo sito sicuro in 10 passi
Sicurezza WordPress: rendere il tuo sito sicuro in 10 passiLaura Lonighi
 
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisureCCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisurewalk2talk srl
 
Aumentiamo la sicurezza in TYPO3
Aumentiamo la sicurezza in TYPO3Aumentiamo la sicurezza in TYPO3
Aumentiamo la sicurezza in TYPO3Mauro Lorenzutti
 
Owasp parte3
Owasp parte3Owasp parte3
Owasp parte3claudiodigiovanni
 
Hollywood mode off: security testing at scale
Hollywood mode off: security testing at scaleHollywood mode off: security testing at scale
Hollywood mode off: security testing at scaleClaudio Criscione
 
HackInBo2018 - Security @ Hyperscale
HackInBo2018 - Security @ HyperscaleHackInBo2018 - Security @ Hyperscale
HackInBo2018 - Security @ HyperscaleClaudio Criscione
 

Weitere ähnliche Inhalte

Ähnlich wie Virtually Pwned: Hacking VMware [ITA - SMAU10]

Web Application Insecurity Uncensored
Web Application Insecurity UncensoredWeb Application Insecurity Uncensored
Web Application Insecurity Uncensoredjekil
 
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013Simone Onofri
 
Hackers vs. Developers: Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs. Developers: Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013Hackers vs. Developers: Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs. Developers: Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013Codemotion
 
Meetmagento 2014 hackers_onofri
Meetmagento 2014 hackers_onofriMeetmagento 2014 hackers_onofri
Meetmagento 2014 hackers_onofriSimone Onofri
 
Sicurezza della virtualizzazione - SMAU 2009
Sicurezza della virtualizzazione - SMAU 2009Sicurezza della virtualizzazione - SMAU 2009
Sicurezza della virtualizzazione - SMAU 2009Claudio Criscione
 
Simulazione di un Penetration Test
Simulazione di un Penetration TestSimulazione di un Penetration Test
Simulazione di un Penetration TestSalvatore Lentini
 
Web Application Insecurity L D2007
Web Application Insecurity L D2007Web Application Insecurity L D2007
Web Application Insecurity L D2007jekil
 
Sicurezza delle applicazioni web eseguire web application penetration test co...
Sicurezza delle applicazioni web eseguire web application penetration test co...Sicurezza delle applicazioni web eseguire web application penetration test co...
Sicurezza delle applicazioni web eseguire web application penetration test co...Simone Onofri
 
Malware Analysis. A Case Study
Malware Analysis. A Case StudyMalware Analysis. A Case Study
Malware Analysis. A Case StudyGianni Amato
 
Webreevolution 2013 - Gualtiero Santucci - Sicurezza Wordpress
Webreevolution 2013 - Gualtiero Santucci - Sicurezza WordpressWebreevolution 2013 - Gualtiero Santucci - Sicurezza Wordpress
Webreevolution 2013 - Gualtiero Santucci - Sicurezza Wordpressguaio2013
 
Cryptolocker come limitare il rischio
Cryptolocker come limitare il rischioCryptolocker come limitare il rischio
Cryptolocker come limitare il rischioMario Mancini
 
WordPress Facilissimo: guida alla sicurezza
WordPress Facilissimo: guida alla sicurezzaWordPress Facilissimo: guida alla sicurezza
WordPress Facilissimo: guida alla sicurezzaFlavius-Florin Harabor
 
Hackers vs developers: progettere le applicazioni mobile tra OWASP e OSSTMM
Hackers vs developers: progettere le applicazioni mobile tra OWASP e OSSTMMHackers vs developers: progettere le applicazioni mobile tra OWASP e OSSTMM
Hackers vs developers: progettere le applicazioni mobile tra OWASP e OSSTMMSimone Onofri
 
Sicurezza WordPress: rendere il tuo sito sicuro in 10 passi
Sicurezza WordPress: rendere il tuo sito sicuro in 10 passiSicurezza WordPress: rendere il tuo sito sicuro in 10 passi
Sicurezza WordPress: rendere il tuo sito sicuro in 10 passiLaura Lonighi
 
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisureCCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisurewalk2talk srl
 
Aumentiamo la sicurezza in TYPO3
Aumentiamo la sicurezza in TYPO3Aumentiamo la sicurezza in TYPO3
Aumentiamo la sicurezza in TYPO3Mauro Lorenzutti
 

Ähnlich wie Virtually Pwned: Hacking VMware [ITA - SMAU10] (20)

Web Application Insecurity Uncensored
Web Application Insecurity UncensoredWeb Application Insecurity Uncensored
Web Application Insecurity Uncensored
 
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
 
Hackers vs. Developers: Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs. Developers: Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013Hackers vs. Developers: Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs. Developers: Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
 
Meetmagento 2014 hackers_onofri
Meetmagento 2014 hackers_onofriMeetmagento 2014 hackers_onofri
Meetmagento 2014 hackers_onofri
 
Sicurezza della virtualizzazione - SMAU 2009
Sicurezza della virtualizzazione - SMAU 2009Sicurezza della virtualizzazione - SMAU 2009
Sicurezza della virtualizzazione - SMAU 2009
 
Simulazione di un Penetration Test
Simulazione di un Penetration TestSimulazione di un Penetration Test
Simulazione di un Penetration Test
 
Web Application Insecurity L D2007
Web Application Insecurity L D2007Web Application Insecurity L D2007
Web Application Insecurity L D2007
 
Sicurezza delle applicazioni web eseguire web application penetration test co...
Sicurezza delle applicazioni web eseguire web application penetration test co...Sicurezza delle applicazioni web eseguire web application penetration test co...
Sicurezza delle applicazioni web eseguire web application penetration test co...
 
Help Framakey WebApps
Help Framakey WebAppsHelp Framakey WebApps
Help Framakey WebApps
 
Malware Analysis. A Case Study
Malware Analysis. A Case StudyMalware Analysis. A Case Study
Malware Analysis. A Case Study
 
Webreevolution 2013 - Gualtiero Santucci - Sicurezza Wordpress
Webreevolution 2013 - Gualtiero Santucci - Sicurezza WordpressWebreevolution 2013 - Gualtiero Santucci - Sicurezza Wordpress
Webreevolution 2013 - Gualtiero Santucci - Sicurezza Wordpress
 
Cryptolocker come limitare il rischio
Cryptolocker come limitare il rischioCryptolocker come limitare il rischio
Cryptolocker come limitare il rischio
 
WordPress Facilissimo: guida alla sicurezza
WordPress Facilissimo: guida alla sicurezzaWordPress Facilissimo: guida alla sicurezza
WordPress Facilissimo: guida alla sicurezza
 
Hackers vs developers: progettere le applicazioni mobile tra OWASP e OSSTMM
Hackers vs developers: progettere le applicazioni mobile tra OWASP e OSSTMMHackers vs developers: progettere le applicazioni mobile tra OWASP e OSSTMM
Hackers vs developers: progettere le applicazioni mobile tra OWASP e OSSTMM
 
sicurezza e php
sicurezza e phpsicurezza e php
sicurezza e php
 
Devianze
DevianzeDevianze
Devianze
 
Sicurezza WordPress: rendere il tuo sito sicuro in 10 passi
Sicurezza WordPress: rendere il tuo sito sicuro in 10 passiSicurezza WordPress: rendere il tuo sito sicuro in 10 passi
Sicurezza WordPress: rendere il tuo sito sicuro in 10 passi
 
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisureCCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
 
Aumentiamo la sicurezza in TYPO3
Aumentiamo la sicurezza in TYPO3Aumentiamo la sicurezza in TYPO3
Aumentiamo la sicurezza in TYPO3
 
Owasp parte3
Owasp parte3Owasp parte3
Owasp parte3
 

Mehr von Claudio Criscione

Hollywood mode off: security testing at scale
Hollywood mode off: security testing at scaleHollywood mode off: security testing at scale
Hollywood mode off: security testing at scaleClaudio Criscione
 
HackInBo2018 - Security @ Hyperscale
HackInBo2018 - Security @ HyperscaleHackInBo2018 - Security @ Hyperscale
HackInBo2018 - Security @ HyperscaleClaudio Criscione
 
The Good The Bad The Virtual
The Good The Bad The VirtualThe Good The Bad The Virtual
The Good The Bad The VirtualClaudio Criscione
 
Introduzione alla computer forensic - acquisizione
Introduzione alla computer forensic - acquisizioneIntroduzione alla computer forensic - acquisizione
Introduzione alla computer forensic - acquisizioneClaudio Criscione
 
[Confidence0902] The Glass Cage - Virtualization Security
[Confidence0902] The Glass Cage - Virtualization Security[Confidence0902] The Glass Cage - Virtualization Security
[Confidence0902] The Glass Cage - Virtualization SecurityClaudio Criscione
 

Mehr von Claudio Criscione (7)

Hollywood mode off: security testing at scale
Hollywood mode off: security testing at scaleHollywood mode off: security testing at scale
Hollywood mode off: security testing at scale
 
HackInBo2018 - Security @ Hyperscale
HackInBo2018 - Security @ HyperscaleHackInBo2018 - Security @ Hyperscale
HackInBo2018 - Security @ Hyperscale
 
Virtually Pwned
Virtually PwnedVirtually Pwned
Virtually Pwned
 
Standing on the clouds
Standing on the cloudsStanding on the clouds
Standing on the clouds
 
The Good The Bad The Virtual
The Good The Bad The VirtualThe Good The Bad The Virtual
The Good The Bad The Virtual
 
Introduzione alla computer forensic - acquisizione
Introduzione alla computer forensic - acquisizioneIntroduzione alla computer forensic - acquisizione
Introduzione alla computer forensic - acquisizione
 
[Confidence0902] The Glass Cage - Virtualization Security
[Confidence0902] The Glass Cage - Virtualization Security[Confidence0902] The Glass Cage - Virtualization Security
[Confidence0902] The Glass Cage - Virtualization Security
 

Virtually Pwned: Hacking VMware [ITA - SMAU10]

  • 1. Virtually Pwned Hacking VMware Claudio Criscione @paradoxengine – c.criscione@securenetwork.it
  • 4. Violare la virtualizzazione significa... … hacking “al di sotto” … accedere direttamente ai sistemi … aggirare controlli di permessi o network-level … colpire più “bersagli” contemporaneamente Il tutto, probabilmente su sistemi non aggiornati e su un ristretto numero di soluzioni Parliamo del 96% delle Fortune 1000 * * http://www.vmware.com/company/customers/
  • 5. Quindi? E' un problema interessante Esistono veramente degli attacchi Quali sono e come ci si difende ? ! ?
  • 7.
  • 8. Strumenti Del Mestiere
  • 10. VASTO Virtualization ASsessment TOolkit E' un “ exploit pack ” per Metasploit specializzato nella sicurezza della Virtualizzazione e del Cloud. La beta 0.4 è in corso di pubblicazione. La 0.3 è già su vasto.nibblesec.org Tnx to Luca Carettoni, Paolo Canaletti, drk1wi per l'aiuto.
  • 11.
  • 13. Adoro i piani ben riusciti Con gli occhi del nemico... 1 – Ricognizione 2 – Attacco 3 – Difesa
  • 15. Locale – questa è una VM? Facile – Verifichiamo il MAC, i processi Non così facile – accesso all'hardware (CPU, RAM) Remoto – trova la virtualizzazione... Identifichiamo i servizi di rete Utile per scoprire virtualizzazione “nascosta” Come e dove
  • 16. vmware_version Usa una API SOAP ad-hoc, disponibile nella maggior parte dei prodotti VMware Utilizza le principale funzionalità degli scanner Metasploit, quindi funziona su range di IP, si interfaccia con i database e così via... […] <RetrieveServiceContent xmlns=amp;quot;urn:internalvim25amp;quot;> <_this type=amp;quot;ServiceInstanceamp;quot;> ServiceInstance </_this> </RetrieveServiceContent> [ … ]
  • 17. Un attacco a strati
  • 18.  
  • 19.  
  • 20. Attacco al client Take the admin, take the world
  • 21. VI Client Auto Update
  • 22. clients.xml <ConfigRoot> <clientConnection id=&quot;0000&quot;> <authdPort>902</authdPort> <version> 3 </version> <patchVersion>3.0.0</patchVersion> <apiVersion>3.1.0</apiVersion> <downloadUrl>https://*/client/VMware-viclient.exe</downloadUrl> </clientConnection> </ConfigRoot>
  • 23. vmware_vilurker Questo modulo consente di ottenere user-assisted code execution a partire da una situazione di Man In The Middle . Praticamente nessuno usa certificati trusted. Niente code signing .
  • 24.  
  • 26. vmware_guest_stealer CVE-2009-3733 Questo path traversal è stato scoperto e reso pubblico da Flick e Morehouse alla fine dello scorso anno. L'exploit è stato integrato in VASTO. Può essere usato per recuperare qualsiasi file come root , ivi incluse macchine virtuali. Funziona su ESX, ESXi, Server non aggiornati.
  • 27.  
  • 28. vmware_updatemanager_traversal JETTY-1004 VMware Update Manager utilizza Jetty 6.1.16 Normalmente installato sul sistema vCenter Jetty 6.1.16 è vulnerabile ad un path traversal Ecco la magia: /vci/downloads/health.xml/%3F/../../../../../../../../../$FILE
  • 29. Ok, possiamo leggere qualsiasi file come System. E allora? Seguitemi...
  • 30. Mr Vpxd-profiler-*, suppongo File di “debug” prodotto da vCenter. Indovina cosa c'è dentro... /SessionStats/SessionPool/Session/Id='06B90BCB-A0A4-4B9C-B680-FB72656A1DCB'/Username=‘FakeDomainFakeUser '/ SoapSession/Id ='AD45B176-63F3-4421-BBF0-FE1603E543F4'/Count/total 1
  • 33. vmware_session_rider Usare la sessione non è semplicissimo: timeout, chiamate sequenziali e dipendenti. Il modulo agisce da proxy simulando la sessione di un altro utente . Consente di effettuare un finto login per ingannare il vSphere client. Session_rider + traversal = vmware_autopwn
  • 34. Bonus! Accesso in sola lettura al server vCenter = controllo del sistema!
  • 35.  
  • 36. Una solida interfaccia Web & Complessa XSS vari URL Forwarding BONUS: La keyword di shutdown non è stata modificata: shutdown di Tomcat (locale)
  • 37. vmware_webaccess_portscan CVE-2010-0686 “ URL Forwarding” in realtà significa POST arbitrari su sistemi remoti. Possiamo usare l'interfaccia web di VMware come “proxy” verso altri sistemi web, o per effettuare portscan!
  • 38. Attacco al backend vCenter si collega ai server ESX via SSL [SOAP] Normalmente, i certificati non sono “trusted” Vediamolo in un bellissimo* grafico SSL [Cert1] vCenter SSL [CertA] SSL [CertB] *Diagram powered by ORACLE's Open Office Sarà sicuramente più bello con LibreOffice ESXb ESXa
  • 39.
  • 40. Se nulla ha funzionato...
  • 41. vmware_login Puoi sempre fare bruteforce! Il modulo vmware_login lavora sullo standard metasploit. Local Administrator, root: no lockout (by default) Bruteforce efficace .
  • 42.  
  • 43. Che altro? Numerosi vettori per escalation of privileges. Saranno inclusi in VASTO in futuro Spesso a bassissimo livello: I/O Ports, PCI ports... Che altro?
  • 44. Nuove frontiere dell'attacco Paravirtualization e software di supporto
  • 45. vmware_sfcb_exec CVE-2010-2667 Una vulnerabilità nella Virtual Appliance Management Infrastructure che consente di eseguire codice come root. Richiede autenticazione, OPPURE può essere eseguita localmente.
  • 46. L'attacco <?xml version=&quot;1.0&quot; encoding=&quot;UTF-8&quot;?> <CIM CIMVERSION=&quot;2.0&quot; DTDVERSION=&quot;2.0“> <MESSAGE ID=&quot;13&quot; PROTOCOLVERSION=&quot;1.0“> <SIMPLEREQ><METHODCALL NAME=&quot;SetServerName“> <LOCALCLASSPATH> <LOCALNAMESPACEPATH> <NAMESPACE NAME=&quot;root&quot;/><NAMESPACE NAME=&quot;cimv2&quot;/> </LOCALNAMESPACEPATH> <CLASSNAME NAME=&quot;VAMI_NetworkSetting&quot;/> </LOCALCLASSPATH> <PARAMVALUE NAME=&quot;HostName&quot; PARAMTYPE=&quot;string“> <VALUE>121 ;$(echo${IFS}ls${IFS}-l)>/tmp/echo </VALUE> </PARAMVALUE> </METHODCALL> </SIMPLEREQ></MESSAGE></CIM>
  • 47. Can we attack virtualization?
  • 48. Riassumendo Possiamo attaccare il client via sniff della password o controllare il sistema dell'admin. Possiamo aggredire l'hypervisor ed i suoi componenti core (via path traversal ) Possiamo prendere il controllo delle sessioni degli altri utenti. Possiamo aggredire l'interfaccia web . Possiamo sfruttare vulnerabilità nei servizi di supporto . C'è decisamente un problema!
  • 50. E ora? Riconsiderate la strategia di virtualizzazione sicura Keep on hacking! Claudio Criscione Twitter - @paradoxengine Email - [email_address] Blog & Download - vasto.nibblesec.org Work & Virtualization PenTest – securenetwork.it