Tấn công môi trường ảo hóa Vmware vSphere

Tác giả server360, T.Năm 31, 2013, 05:57:38 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Tấn công môi trường ảo hóa Vmware vSphere 


Vmware vSphere là một lớp nằm trong tổng thể môi trường mạng lưới điện toán của doanh nghiệp. Trong bài viết này tôi sẽ chia sẻ một vài mối đe dọa đối với Vmware vSphere cùng những cách thức tấn công vào môi trường điện toán đám mây.

Những năm gần đây tôi cảm thấy thật may mắn khi có cơ hội được hợp tác với một số doanh nghiệp đầu ngành của Việt Nam như Eximbank, Vinasoy, Liberty Insurance ... thông qua việc cung cấp các dịch vụ đánh giá bảo mật và tư vấn chiến lược an toàn thông tin, cùng một số khóa đào tạo chuyên ngành như Ethical Hacking, Ultimate Web Hacking, CISSP...

Những công việc này tiến triển khá tốt, thời gian gần đây tôi nhận được một số yêu cầu từ phía khách hàng, nhắm đến xu hướng mới : Đánh giá bảo mật môi trường điện toán đám mây hay còn gọi là ảo hóa.

Làm việc với ảo hóa rất thú vị tuy nhiên chúng luôn luôn có một nhược điểm về mặt an ninh. Rất nhiều chuyên gia quản trị hệ thống thường "bỏ qua" việc đảm bảo an ninh trong môi trường ảo hóa VMware vSphere. Người ta mặc định suy nghĩ rằng vì ảo hóa thường được triển khai trong môi trường nội bộ nên mức độ rủi ro thấp, vấn đề đảm bảo an ninh cho Hypervisor và vCenter bị xem nhẹ một cách "đáng sợ" !

Trong bài viết này tôi mặc định rằng bạn đã có một số kiến thức cơ bản về điện toán đám mây, về Vmware vSphere, tôi sẽ không đi vào những gì VMware vSphere hay vCenter làm được, cũng như ưu điểm và khuyết điểm của công nghệ điện toán đám mây.

Chúng ta sẽ bắt đầu bài viết này bằng cách thảo luận một vài lý do như : Tại sao kiến trúc ảo hóa nên được xem như là một lớp (Layer) nằm bên trong môi trường mạng lưới điện toán, góp phần vào những cuộc tấn công môi trường điện toán tổng thể.

Trước hết phần mềm ảo hóa (virtualization software) là nền tảng cơ bản của môi trường ảo hóa (virtualized environment). Tất cả các máy chủ ảo đều phụ thuộc vào nó và khi một ai đó truy cập được vào giao diện quản lý (management interfaces), toàn bộ cơ sở hạ tầng đều có thể sẽ bị chiếm quyền kiểm soát.

Chúng ta đều hiểu rằng ảo hóa có thể được triển khai bằng nhiều cách khác nhau, trải dài từ một thiết kế đơn giản cho đến các loại hình có kiến trúc mạnh mẽ hơn và phức tạp hơn. Dù cho phức tạp đến mức độ nào chúng đều có những mối đe dọa tiềm tàng cần phải được đánh giá.

Tôi đã được "diện kiến" với những cách thiết kế kiến trúc ảo hóa tốt nhất khi hầu hết các mối nguy hiểm đều được giải quyết một cách nghiêm túc và ngược lại tôi cũng đã "tiếp xúc" với những kiểu thiết kế kiến trúc vô cùng cẩu thả, nơi mà chúng ta có thể dễ dàng bị chiếm quyền truy cập bởi từ bất kỳ ai.

Lấy ví dụ, việc sử dụng Shodan tại   Đăng nhập để xem liên kết. Nếu bạn chưa biết đến Website này, bạn nên dành thời gian tìm hiểu về những khả năng khá "kinh hoàng" đằng sau hệ thống ấn tượng này. Một lời giải thích đơn giản nó chính là công cụ tìm kiếm máy chủ (Server Search Engine).

Đây là danh sách các máy chủ được kết nối trực tiếp ra Internet và Shodan đã tìm thấy chúng. Quả thật đáng sợ ! Không một chút bảo mật nào phải không ? Một trong số các hệ thống này có thể chứa những máy chủ dành cho việc phát triển ứng dụng, cơ sở dữ liệu, mức độ tiếp xúc "trần trụi" như thế này không phải là một ý kiến hay ! Khi ta dùng trình duyệt để truy cập đến một trong những địa chỉ IP trong danh sách trên, ta sẽ thấy dữ liệu đưa ra như Hình 3.

Trông quen phải không ! Tôi nghĩ họ đang "mời gọi" chúng ta hãy khai thác vào điểm yếu an ninh của họ. Tôi đùa ! Đó thực sự là hành vi bất hợp pháp vì thế chúng ta chỉ nên xem thôi, đừng thực hành nhé các bạn. Có hàng trăm mối nguy hiểm liên quan đến môi trường VMware, chẳng hạn tấn công vào Hypervisor, Vcenter, Update Manager, Data Recovery ... và nhiều thứ khác.

Tôi muốn các bạn xem qua thống kê về những cuộc tấn công trực diện vào máy chủ ESXi 4.x ở Hình 4.

Khi nhìn vào số liệu thống kê từ Secunia, ta thấy rằng hai kết quả đầu tiên là System Access và DoS, System Access trên ESXi có nghĩa là cho phép kẻ tấn công truy cập vào tất cả mọi thứ trên môi trường ảo hóa. Còn vCenter, hãy nhìn vào Hình 5 và 6.

Như bạn thấy, sự tàn phá của những cuộc tấn công đối với vCenter thật kinh khủng. Hãy nhớ đến vụ cướp tín dụng tồi tệ nhất đã từng xảy ra trong lịch sử, vào khoảng năm 2006 - 2008, bản cáo trạng 20 năm tù cho Hacker Gonzalez, đó là một vụ tấn công vào môi trường ảo hóa !
Cuộc tấn công được thực hiện với mục tiêu là các hệ thống đang vận hành ESX. Sau khi chiếm được quyền truy cập, Gonzalez đã cài đặt Rootkit vào máy chủ ESX để đánh cắp thông tin các tài khoản Credit Card, thông qua kỹ thuật nghe lén (sniffing) và thu thập lưu lượng dữ liệu đến từ nhiều máy chủ SQL cùng một lúc, hậu quả là từ 140 đến 180 triệu thẻ tín dụng đã bị anh ta đánh cướp. Sự việc này đã làm dấy lên hồi chuông cảnh báo cần phải kiện toàn an ninh kiến trúc ảo hóa một cách bài bản.

Những sai lầm thường gặp khi triển khai môi trường ảo hóa

Một trong những sai lầm phổ biến nhất khi triển khai VMware vSphere là gì ? Sai lầm phổ biến, thường xuyên xảy ra và nghiêm trọng nhất chính là việc không phân tách phân vùng mạng (Network Segmentation) nhằm tách các máy chủ Management ra khỏi vùng mạng chung.

Hình 7 là ảnh chụp một mô hình mạng được sử dụng để cho thấy các phương pháp phổ biến trong khi triển khai mạng ảo hóa. Chú ý : Mô hình ảo hóa này không sử dụng VLAN. Trong môi trường ảo hóa này, máy ảo sẽ được phép truy cập đến tất cả các máy khác nằm trong mạng lưới. Không, chuyện này không nên diễn ra như thế.

Thậm chí ngay cả khi chúng ta đã phân tách phân vùng mạng bằng cách sử dụng VLAN và vShield zones, ta vẫn còn mắc sai lầm. vCenter Administrator truy cập vào Management Network bằng cách nào ? Đây là sai lầm mà tôi thường gặp nhất. Nó làm tôi thật sự ngạc nhiên khi có quá nhiều công ty bỏ qua các giai đoạn kiện toàn an ninh trong khi triển khai ảo hóa.

Họ chú trọng vào việc kiện toàn mạng lưới và hệ thống máy chủ Windows nhưng lại bỏ qua kiện toàn an ninh ảo hóa. Có bao nhiêu công ty đăng nhập bằng tài khoản root vào Hypervisor và dùng loại mật khẩu mà mọi người dùng khác đều có thể đoán ra được (123456, password, anhyeuem, emyeuanh) ?

Đọc đến đây các bạn có nghĩ tôi đang đùa không ? Thật không may là tôi không thích đùa, sai lầm phổ biến này thường xuyên xảy ra ngay cả khi nó nằm trong các chính sách an ninh bắt buộc phải tuân thủ.