2023年06月15日到16日,主题为“MASTER THE OFFENFIVE SECURITY LANDSCAPE”的第五届 TyphoonCon 国际安全议会在韩国首尔举办,深信服首席安全研究员彭峙酿出席并发表了主题为《Exploiting vulns in ESXi:preauth RCE & Sandbox escape》的演讲。
TyphoonCon 由 SSD Secure Disclosure 于 2018 年创立,专注于高度技术性的进攻性安全问题,例如漏洞发现、高级利用技术和逆向工程。这是行业公认的世界信息安全行业的顶级盛会,每年举办一次,每次举办都能吸引来自世界各地的安全研究员参加。此次出席分享,是国际上对深信服千里目安全技术中心先进的安全技术研究能力的认可。
活动现场
揭秘威胁“云”上安全的隐秘杀手
你意识到了吗?
其实上云也有“先天性心脏病”。
随着云计算和虚拟化技术的发展,越来越多的企业将业务部署在云上。对于重要数据和业务,企业往往不会将它们放在公有云,而是放在内部的私有云上。但我们看到,有太多的企业在云的落地过程中举步维艰,同样面临着众多网络攻击和黑客入侵的威胁。
其中有一个存在感弱,但破坏力极大的隐患,就是“心脏”先天不足。
云原生时代,容器凭借其易移植、云上云下自由运行、自由迁移的特点,得到了众多企业的青睐。由于目前的容器技术大多应用在无状态领域,用于部署企业应用的前端,而企业应用的后端通常为有状态组件如数据库等,由于具有较高的可靠性要求,实际生产环境还是以稳定的虚拟化平台为主。当前全球范围内被广泛使用的主流虚拟化平台,是由虚拟化巨头VMware提供的vSphere,其提供一系列高性能、高稳定性的虚拟化产品和服务。
vSphere承载了大量高价值的业务和数据,作为其核心组件之一的ESXi,为创建虚拟机和虚拟化设备提供底层的技术支持,多台 ESXi 可以组成一个虚拟化集群,也因此成为了恶意黑客的主要攻击对象。今年,在全球范围内,发生了针对ESXi的大规模勒索攻击,数千台 ESXi 服务器被入侵和勒索。这些攻击犹如掐住“心脏”般,影响极大。
在TyphoonCon安全议会上,彭峙酿分享了在勒索攻击中用来入侵ESXi的多个漏洞利用细节,并指出,即使在真实环境中,这些漏洞的利用也是非常稳定的,危害极大,同时也指出了一个不容忽视的安全问题,在内网中,依然存在着大量可利用的ESXi,这些ESXi必须及时更新!
此外,彭峙酿同时还分享了深信服在对ESXi的前沿攻防的研究成果。其中包括如何在ESXi中进行后渗透攻击,包括攻击者如何在宿主机建立隐蔽的后门、如何在vSphere集群中进行横向移动并控制整个集群等关键技术,并分享应对方案。
议会主题分享
网络安全的本质在于持续的攻防对抗与博弈,除了加强自身防备,还要了解对手的能力、特点和动机,像对手那样思考,这样才能更好地助力网络强国建设和捍卫网络安全防线。
深信服千里目安全技术中心一直致力于以攻促防,通过进攻性安全研究来提高客户网络安全性,有着多年的技术累积。近日,团队的一篇论文《Detecting Union Type Confusion in Component Object Model.》入选USENIX Security 23。作为信息安全领域四大顶级学术会议之一,论文的入选也意味着深信服在安全研究领域的国际前沿性、专业深度性。
深信服千里目安全技术中心也将继续保持这份对技术的热忱,不断提高专业技术造诣,并将研究技术切切实实地应用到产品实践中,持续为用户网络安全赋能,让安全效果领先一步!