谷歌 Compute Engine 的虚拟机曝0day未修复，可遭接管

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士

安全研究员 Imre Rad 分析指出，“从目标虚拟机的角度看，模拟元数据服务器即可接管该平台。攻击者可利用该漏洞通过 SSH （公开密钥认证）获得访问权限，从而以 root 用户身份登录。”

GCE 是谷歌 Cloud Platform 的基础设施即服务 (IaaS) 组件，可使用户按需创建并启动虚拟机。GCE 以元数据服务器的形式提供了存储和检索元数据的方法，以键值对的方法提供了设置元数据的中心点，该键值对之后在运行时被提供给虚拟机。

研究员指出，该漏洞是由 ISC DHCP 客户端使用的弱伪随机数造成的，可导致攻击者使用预计算的交易标识符（即 XIDs）构造多个 DHCP 数据包并洪水攻击受害者的 DHCP 客户端，从而最终模拟元数据服务器。

DHCP 是一款网络管理协议，用于在 IP 网络上自动化配置设备。DHCP 服务器会将IP地址和其它网络配置参数动态地分配给网络上的每台客户端设备，以便和其它网络通信。

Rad 在技术write-up 中指出，“如果 XID 是正确的，那么受害者及其会应用网络配置。这是一个竞争条件，但由于洪水攻击快速且耗尽资源，因此元数据服务器并没有真正的胜算机会。此事攻击者需要重新配置受害者的网络栈。”

鉴于元数据服务器可被用于分发并管理 SSH 密钥，客户端（已建立和恶意服务器的 TCP 连接）可检索攻击者的SSH 公钥，之后该公钥被用于以 root 用户身份打开远程 shell。

在潜在的现实场景中，当虚拟机重启时或云平台的防火墙被关闭，之前提及的攻击链可被攻击者用于获取目标虚拟机的完整访问权限。

2020年9月27日，研究员将漏洞告知谷歌，后者证实了漏洞存在并表示发现该漏洞的研究员做得很出色，但尚未推出补丁也并未说明何时提供修复方案。

Rad 表示，“在修复方案发布前，不要使用 DHCP 或设置主机级别的防火墙规则，以确保 DHCP 通信源自元数据服务器 (169.254.169.254)。拦截虚拟机之间的 UDP/68，这样只有元数据服务器能够执行 DHCP。“

Rad 曾多次发现谷歌云平台中的漏洞。

2020年9月，谷歌修复了 OS Config 工具中的一个本地提权漏洞，能够在受影响 GCE 虚拟机上执行代码的攻击者能够执行越权操作。

今年1月份，Rad 发现还可以获取 Cloud SQL 数据库上的 shell，从而在虚拟机上执行任意代码。谷歌已于2021年2月15日修复该漏洞。