2. Avertissement
Je vais principalement parler des produits les
plus populaires comme VMWare, famille Xen/
Citrix et Microsoft Hyper-V.
Je ne parlerai pas de Parallels, Intel VT-x,
AMD-V ou d’un obscur système d’exploitation
de mainframe qui fait de la virtualisation
depuis longtemps.
2
Tous droits réservés/ Copyright @ 2009 BPR
Infectée
2
3. Mise en situation
Les vendeurs de Les chercheurs en
virtualisation vous disent sécurité et les firmes de
que la virtualisation ou le sécurité vous disent
« cloud computing » va que vous êtes à risque
tout régler. et que vous devez
acheter leurs solutions.
De quelle couleur sont vraiment les nuages de la virtualisation?
3
Tous droits réservés/ Copyright @ 2009 BPR
Infectée
3
4. La virtualisation va tout régler
Elle va diminuer vos coûts d’exploitation en baissant vos
coûts de matériel, énergie, immobilisation, etc.
Vous serez plus « green »! Elle va régler le
réchauffement de la planète à elle seule.
Augmenter la productivité de vos administrateurs (ratio
serveur/administrateur plus élevé…).
Vous aurez de la haute disponibilité, du recouvrement en
cas de désastre et de la continuité des affaires.
4
Tous droits réservés/ Copyright @ 2009 BPR
Infectée
4
5. Le marché
La virtualisation est le marché qui augmentera le
plus en TI cette année selon IDC.
40% des serveurs seront virtualisés
Les 4 éléments de motivation à utiliser la
virtualisation sont:
1. L’utilisation par de plus en plus de gens.
2. Coût au pied carré
3. Alimentation électrique et refroidissement
4. Administration et maintenance
200 serveurs virt./admin au lieu de 50 serveurs/admin
5
Tous droits réservés/ Copyright @ 2009 BPR
Infectée
5
6. La virtualisation est insécure…
Les présentations de chercheurs à DevCon, Black Hat et autres se
succèdent. Le « cloud computing » est dangereux et piratable.
Les outils, les preuves de concept (Bluepill, Vitriol, Xensploit) et les
Whites papers des firmes de sécurité font leur apparition.
« Hypervisor Attacks and Hurricanes are inevitable… » Le marketing
de la peur est enclenché! Sans nos produits votre organisation va
mourir dans un incident apocalyptique. Évangile selon Saint-Gartner,
verses Blog. Repentez-vous et sécurisez-vous!
6
Tous droits réservés/ Copyright @ 2009 BPR
Infectée
6
7. Statistiques sur les vulnérabilités
Source : Secunia de 2003 à octobre 2009
Correctifs
Logiciel /Alertes # vulnérabilités Partiellement réglé Pas corrigé
Windows 2008 51 109 0 0
Hyper-V / Virtual PC Server 2 2 0 0
Total Microsoft 53 111 0 0
Xen 3.x 10 17 1 2
Citrix Xen Server 2 2 0 0
Citrix Xen App 0 0 0 0
Citrix Xen Desktop 0 0 0 0
Total Famille Xen 12 19 1 2
VMWare Player 11 56 0 1
VMWare Desktop 12 54 0 2
VMWare Server 1 13 48 1 1
VMWare Server 2 7 51 1 2
VMWare ESX 2 29 140 4 0
VMWare ESX 3 36 216 7 0
VMWare ESX 3i 13 19 0 1
VMWare ESX 4 4 45 1 1
VMWare ESX 4i 2 39 0 1
Total VMWare 127 668 14 9
Note: La famille ESX et Xen héritent de beaucoup de failles des OS Linux. Ces vulnérabilités n’ont pas été comptabilisées pour l’instant.
7
Tous droits réservés/ Copyright @ 2009 BPR
Infectée
7
8. Donc c’est réel! Plusieurs
vulnérabilités
1. Il y a des vulnérabilités mais sont-elles
exploitables ?
2. Est-ce que le côté obscure s’y intéresse ou
si cela n’est qu’académique?
3. Comment pouvons-nous attaquer une
infrastructure virtuelle et comment pouvons
nous la défendre ultimement?
8
Tous droits réservés/ Copyright @ 2009 BPR
Infectée
8
9. Les vulnérabilités sont t-elles
exploitables?
Si l’on prend ESX 3 et que l’ont vérifie les
vulnérabilités qui ont été rendu publiques,
plus de la moitié sont exploitables à distance.
La majorité ne permet pas un accès à
l’hyperviseur, elles permettent par contre
dans la grande majorité le DoS et l’exposition
d’informations.
9
Tous droits réservés/ Copyright @ 2009 BPR
Infectée
9
10. Exemple :ESX 3.x en 2009
No. bulletin Date Sévérité Impacte Provenace de l'attaque
SA37186 28-10-2009 2/5 Exposition d'informations sensibles Réseau local
SA37172 28-10-2009 2/5 Escalade des privilège Système local
Contournement de la sécurité, Expositions d'informations
sensibles, exposition d'informations sur le système,
SA37081 19-10-2009 4/5 Escalade des privilèges, DoS, accès au système À distance
SA35667 01-07-2009 4/5 DoS, accès au système À distance
SA35269 29-05-2009 1/5 DoS Système local
SA34697 13-04-2009 2/5 Contournement de la sécurité Système local
SA34585 06-04-2009 1/5 Exposition d'informations sensibles Système local
SA34530 01-04-2009 3/5 Usurpation, accès au système À distance
Contournement de la sécurité, Expositions d'informations
sensibles, exposition d'informations sur le système,
SA34013 24-02-2009 3/5 Cross Site Scripting À distance
SA33776 02-02-2009 1/5 DoS À distance
SA33746 02-02-2009 3/5 DoS, accès au système À distance
Source: Secunia Commentaire: En jaune, on retrouve des vulnérabilités qui n’ont pas été complètement réparées.
10
Tous droits réservés/ Copyright @ 2009 BPR
Infectée
10
11. Virtualisation 101
Avant de parler des vulnérabilités, voici un
court aperçu des composants de la
virtualisation et des types d’hyperviseurs.
Ne pas montrer au Hackfest car ils ne sont pas
des gestionnaires!
11
Tous droits réservés/ Copyright @ 2009 BPR
Infectée
11
13. Les hyperviseurs pour les nuls
Réseau
Environnement
L’hyperviseur est un logiciel de
Ordinateur
matériel type Xen ou VMWare ESX.
Ressources partagés de Il y a les hyperviseurs de type 1 et
l’ordinateur de type 2;
Disques partagés
Hyperviseur
Les VM (pas besoin
Logiciel qui prétend être d’explications);
du matériel
Mémoire partagée Il y a aussi la console de gestion
qui contrôle les différents
Réseau partagé
hyperviseurs et VM.
Carte réseau virtuelle
La migration, représente le
transfert via le réseau d’une VM,
Disques virtuels
d’un Hyperviseur à un autre à des
VM
fins de haute disponibilité.
OS Kernel Machine Virtuelle
Applications
13
Tous droits réservés/ Copyright @ 2009 BPR
Infectée
13
14. Type 1 versus Type 2
Type 1: Plus robuste et plus Type 2: Moins robuste. Parfait
orienté production. pour les environnements de
tests.
VM VM VM VM VM VM VM VM
VM VM VM VM VM VM VM VM
vSwitch vSwitch
vSwitch vSwitch
Console
Console
Hypervisor Type 2
Hypervisor Type 1 (OS propriétaire durci)
OS (Windows ou Linux)
Serveur Physique Serveur Physique
ESX Server VMWare Server VMWare Workstation et player sont aussi des types 2.
14
Tous droits réservés/ Copyright @ 2009 BPR
Infectée
14
15. Types 1 versus Type 2
Correctifs
Logiciel /Alertes # vulnérabilités Partiellement réglé Pas corrigé
VMWare Type 1 43 209 2 6
VMWare Type 2 84 459 8 3
Les types 2 sont donc mathématiquement plus vulnérables! C’est aussi ce que
l’on peut vérifier en analysant la nature des vulnérabilités. Elles sont plus
sévères, probables et faisables. On peut souvent passer de la VM à
l’hyperviseur et vice versa avec les vulnérabilités trouvées dans le type 2.
De plus, avec le type 2, il faut calculer vulnérabilités totales = vulnérabilités de
l’OS sous jacent + les vulnérabilités de l’hyperviseur + les vulnérabilités de
l’OS de la VM. Beaucoup de possibilités d’exploitation!
Exemple :Le directory traversal des produits VMWare pour PC en février 2008.
15
Tous droits réservés/ Copyright @ 2009 BPR
Infectée
15
16. Surface d’attaque
1. Composants de gestion
2. Infrastructure virtuelle (ex: vmkernel, vmsafe)
3. Infrastructure physique (hyperviseur + san…)
primaire
4. Infrastructure physique de relève
5. Les machines virtuelles et les appliances
6. Les équipements de gestions externes
7. Les liens externes de l’infrastructure virtuelle
8. Les hyperviseurs de type 2 et les postes de travail
virtualisés qui sont sur le réseau de l’organisation
9. Les administrateurs d’infrastructures virtuelles
16
Tous droits réservés/ Copyright @ 2009 BPR
Infectée
16
17. Les possibilités d’attaques
1. Attaques sur l’infrastructure de gestion (XSS, DoS, etc) ;
2. Attaques sur les machines virtuelles (une VM ou de ou VM à VM «
VM hopping »
3. « Jail breaking », VM à Hyperviseur (plus répendu sur les types 2)
4. Side channel attack. L’hyperviseur envoit des informations à une VM
qui expose des secrets à une autre VM. Survient si le réseau virtuel
est mal configuré : promiscuos mode enabled.
5. Attaques sur le réseau virtuel :Attaques sur les services de
réplication comme vMotion ou si le MAC spoofing est permis sur la
vSwitch. Si le réseau virtuel n’est pas bien segmenté et que par
exemple, on a des VM d’une zone publique et d’une zone privée sur
une même vSwitch, vous exposez votre réseau interne à des
attaquants externes.
6. Attaques sur l’OS sous-jacent dans le cas des hyperviseur de type 2.
17
Tous droits réservés/ Copyright @ 2009 BPR
Infectée
17
18. Les possibilités d’attaques (suite)
7. Attaques sur la couche de persistance. On trouve souvent lors
d’audits des fichiers VMDK en partage sur le réseau ou des SAN
qui ont le mot de passe par défaut du fabriquant. N’oublier pas
que iSCSI passe ses authentifiant en clair sur le réseau avec
VMWare (activez CHAP mais avec un MiTM vous verrez tout
quand même si vous lancez votre attaque avant l’authentification).
Si le réseau local n’est pas adéquatement segmenté, vous
exposez alors vos données à tous les utilisateurs du LAN.
8. Sabotage de la part de l’administrateur de l’infrastructure virtuelle.
9. Attaque via le Clipboard entre la console et une VM compromise.
10. Directory traversal (ex: VMWare Workstation, partage)
11. XSS sur un composant de l’hyperviseur. Ex: VMWare Player.
12. Attaque sur les fichiers de logs. Log Abuse. DoS.
13. Attaque SNMP. Certains supportent SNMP 1 et sont très bavard.
Exigez 2c ou 3.
18
Tous droits réservés/ Copyright @ 2009 BPR
Infectée
18
19. Les possibilités d’attaques (suite)
14. Idée: exploiter une faille dans un produit VMSafe. Être le owner
d’un appliance virtuel de sécurité vous donnera un contrôle ou
une vue imprenable de l’infrastructure virtuelle. Ex: Comme les
failles dans Snort ou dans un produit similaire.
15. Rootkit à la BluePill ou Vitriol.
16. Fausses mises à jour. Vérifier vos hash! Ingénierie sociale sur
l’administrateur de l’infrastructure virtuelle. Faux programme de
transfert SCP…
17. Exploitation de l’API VIX.
18. Exploiter des VM ou des vSwitche mal isolées.
19. Attaquer la console.
19
Tous droits réservés/ Copyright @ 2009 BPR
Infectée
19
20. Intérêt des pirates pour la
virtualisation
Durant les deux dernières années nous avons
vu que certains code malicieux ne s’exécutent
pas dans un environnement virtuel afin de
contrer leur analyse dans des zoo virtuels.
Mais de plus en plus, les routines anti-analyse et
anti-forensic sont de plus en plus ciblés sur les
outils d’analyses plutôt que sur les
environnements. Mais on peut les déjouer
facilement en renommant les outils.
20
Tous droits réservés/ Copyright @ 2009 BPR
Infectée
20
21. Les listings de détection de zoo
font légion sur certains sites
BOOL IsJB()
{
if(IsProcessRunning("joeboxserver.exe") == 1 ||
IsProcessRunning("joeboxcontrol.exe") == 1)
{
detected = 1;
return 1;
}
return 0;
}
21
Tous droits réservés/ Copyright @ 2009 BPR
Infectée
21
22. Le côté obscur et le cloud
La virtualisation des postes de travail (VDI) est de
plus en plus à la mode et les postes de travail sont la
base des botnets.
Les postes virtualisés statiques sont réinitialisés
chaque jour et mis à jour constamment. Pas très bon
pour un bot.
Les postes virtualisés dynamiques sont de meilleures
cibles car ils sont plus similaires au postes
traditionnels. Mais ils seront moins nombreux.
Compte tenu de l’évolution du marché vers la
virtualisation, les pirates vont s’adapter ou faire place
à d’autres: Cyber Darwinisme.
22
Tous droits réservés/ Copyright @ 2009 BPR
Infectée
22
23. Comment se protéger
1. Gestion des accès (rôles) et de l’authentification serré.
2. Définir des serveurs ESX pour des tâches différentes et
des niveaux de sécurité différents.
3. Sécurité de la persistance « Storage ».
4. Sécuriser la console
5. Séparation des tâches entre les administrateurs.
6. Mettre à jour les composants.
7. Sécuriser les réseaux physiques et virtuels.
23
Tous droits réservés/ Copyright @ 2009 BPR
Infectée
23
24. Comment se protéger (suite)
9. Mettre place une infrastructure de journalisation et de
surveillance adéquate.
10. Implanter une solution de sécurité qui tire profit de
VMSafe ou l’équivalent.
11. Durcir et protéger les VM elles mêmes.
12. Effectuer le durcissement de l’environnement virtuel
(voir références à la fin).
13. Balayer les environnements virtuels avec des
scanneurs de vulnérabilités régulièrement.
14. Sécuriser les applications qui sont dans les VM car
elles peuvent compromette les VM.
24
Tous droits réservés/ Copyright @ 2009 BPR
Infectée
24
25. Références
VMWare Infrastructure 3.5 Hardening, VMWare
CIS VMWare ESX Server Benchmark, CIS
ESX Server Security Technical Implementation Guide,
DISA
Xen Server Security Technical Implementation Guide,
DISA
DMZ Virtualisation with VMWare Infrastructure, VMWare
VM Security Technical Implementation Guide, DISA
www.secunia.com
25
Tous droits réservés/ Copyright @ 2009 BPR
Infectée
25
26. Commentaires
Connaissez-vous une technologie de « cloud
computing » qui soit mature et opérationnelle depuis
longtemps?
Moi, oui, on appel cela un botnet!
La plupart des organisations ne le savent pas mais
elles ont un nuage privé!
C’est juste que ce nuage ne vous appartient
plus. Vous n’êtes qu’un hébergeur!
Pour reprendre le contrôle de votre nuage, appelez
nous!
26
Tous droits réservés/ Copyright @ 2009 BPR
Infectée
26