一安全研究公司發(fā)出警報，指一個新的Bug能讓黑客從內(nèi)部騎劫數(shù)據(jù)中心的決大部分機器。

該零日漏洞來自有著廣泛應(yīng)用的虛擬化軟件的傳統(tǒng)通用組件，可被黑客利用，使其滲透連接到數(shù)據(jù)中心網(wǎng)絡(luò)的每一臺機器。

目前大多數(shù)數(shù)據(jù)中心都將客戶(包括大型科技公司和小公司的客戶)密集地置于虛擬機上，或是將多個操作系統(tǒng)密集地置于單一的服務(wù)器上。虛擬化系統(tǒng)的使用旨在共享資源，但虛擬化系統(tǒng)在主機管理程序里仍然是獨立的實體。虛擬機的運行由主機管理程序全力操縱。新發(fā)現(xiàn)的漏洞名為“毒液”(Venom)，全稱為“虛擬環(huán)境疏忽運作操縱”(Virtualized Environment Neglected Operations Manipulation，縮寫為Venom)，黑客可以利用Venom無障礙訪問虛擬機管理程序，因而亦可訪問連在數(shù)據(jù)中心網(wǎng)絡(luò)上的所有設(shè)備。

Venom漏洞源于傳統(tǒng)的虛擬軟盤控制器，少有人理會該虛擬軟盤控制器，但如果虛擬軟盤控制器收到特制的代碼，整個虛擬機管理程序就會崩潰。如此黑客可以從自己的虛擬機破格訪問其他機器，包括其他人或其他公司擁有的機器。

該Bug是在開源計算機仿真器QEMU里發(fā)現(xiàn)的，最初的發(fā)現(xiàn)日期是2004年。許多現(xiàn)代虛擬化平臺(如Xen、KVM和Oracle的VirtualBox)都內(nèi)含該段有毛病的代碼。

VMware、微軟Hyper-V和Bochs的虛擬機管理程序不受影響。

漏洞是CrowdStrike的Jason Geffner發(fā)現(xiàn)的。他在周二一次電話采訪時表示，“數(shù)以百萬計的虛擬機在用含有該漏洞的平臺。”

Venom漏洞可能是今年發(fā)現(xiàn)的最大漏洞之一。發(fā)現(xiàn)漏洞的時間離去年臭名昭著Heartbleed漏洞一年多一點點。Heartbleed漏洞影響到開源加密軟件OpenSSL，可被不壞好意的人利用，以獲取受影響的服務(wù)器內(nèi)存中的數(shù)據(jù)。

Geffner用了一個比喻解釋兩個漏洞的不同，“Heartbleed能讓對手通過房子的窗戶看到數(shù)據(jù)，進(jìn)而收集信息。Venom卻可以讓人潛入到一棟房子里，以及附近所有的房子里。”

Geffner表示，他的公司正在與軟件廠商合作，以求在周三公布漏洞前修補好漏洞。由于許多公司有自己的硬件和軟件，因此數(shù)以千計的受影響的客戶在打補丁時無需下線。

他表示，目前最大的問題是有些公司運行的系統(tǒng)無法自動打補丁。

黑客如想利用Venom漏洞的話，就必須以高權(quán)限或“根”權(quán)限進(jìn)入一個虛擬機。Geffner給大家提了個醒，他表示，要從一個云計算服務(wù)商那租用一個虛擬機用于攻擊虛擬機管理程序，是件很簡單的事。

Geffner表示，“至于有心搞事的人攻陷虛擬機管理程序后能夠做什么，這將處決于網(wǎng)絡(luò)的布局。”言下之意：要騎劫整個數(shù)據(jù)中心是可能的。

Dan Kaminsky是一位資深安全專家，從事安全研究工作。他在一份電子郵件里表示，Venom Bug十多年來未引起人們的注意，原因是誰也不會對傳統(tǒng)磁盤驅(qū)動器系統(tǒng)瞥上一眼。而幾乎每一個虛擬化軟件里卻恰恰都含有傳統(tǒng)磁盤驅(qū)動器系統(tǒng)。

Kaminsky表示，“運行云系統(tǒng)的人真的要打補丁處理該Bug。應(yīng)該不會是件太頭痛的事，因為那些可能受到系統(tǒng)影響的大供應(yīng)商都已經(jīng)對漏洞采取了措施。”

由于Venom Bug是在CrowdStrike公司內(nèi)部發(fā)現(xiàn)的，坊間并無公開的代碼可作攻擊用。Geffner表示，利用Venom漏洞進(jìn)行攻擊并不難，但成功開發(fā)可用的惡意代碼“頗費周折”。

Venom漏洞四月下旬披露后，一眾公司用了近兩周給受影響的系統(tǒng)打補丁。

Rackspace公司在一份電子郵件聲明中稱，Rackspace被告知旗下的一部分云服務(wù)器受到影響，Rackspace還稱旗下的系統(tǒng)已經(jīng)打了補丁。

開發(fā)了VirtualBox的甲骨文在一份電子郵件聲明中表示，甲骨文公司“知道”該問題存在，已經(jīng)修復(fù)了代碼，并說甲骨文將很快發(fā)布一個維護(hù)更新。

甲骨文軟件負(fù)責(zé)人Frank Mehnert表示，“我們將很快發(fā)布VirtualBox 4.3維護(hù)版。除此之外，受影響的用戶數(shù)量是有限的，因為大多數(shù)標(biāo)準(zhǔn)虛擬機的配置禁用軟盤設(shè)備仿真。”

甲骨文的一位發(fā)言人拒絕就此發(fā)表評論。

Linux基金會負(fù)責(zé)Xen項目。其發(fā)言人拒絕就細(xì)節(jié)發(fā)表評論，但稱已經(jīng)發(fā)布了一個安全公告。