Weblog

door Bas onder News | 0 comments

Flip Feng Shui: Een nieuwe bedreiging voor de Cloud?

Gisteren hebben onderzoekers van de Vrije Universiteit van Amsterdam en van de Katholieke Universiteit Leuven een nieuwe aanvalsmethode gepubliceerd: Flip Feng Shui. Deze aanval is gericht op het achterhalen van de SSH-sleutel uit virtuele servers in de Cloud en maakt zelf gebruik van de Row hammer-kwetsbaarheid. Grote termen die griezelig klinken. Maar is het dat ook? Is dit het eind van de Cloud? Hoog tijd voor een analyse.

Maar eerst een geruststelling: Onze systemen zijn veilig en niet vatbaar voor deze kwetsbaarheid. Lees rustig door om te weten waarom wij niet kwetsbaar zijn.

Wat doet de aanval?

De aanval is er op gericht om ongeoorloofd toegang te krijgen tot virtuele servers. Dit wordt bereikt door de SSH-sleutel te achterhalen, een geheime sleutel waarmee mensen zichzelf kunnen aanmelden als beheerder bij de virtuele server.

Op zich is het niet zo gek dat de aanval gericht is op de SSH-sleutels, veel aanvallen doen dat namelijk. Wat deze aanval bijzonder maakt is de manier waarop ze aan die sleutels komen.

Hoe komen ze dan bij de sleutels?

Gebruikelijk zijn aanvallen gericht op het misleiden van de gebruiker of op het vinden van kwetsbaarheden in de software.

Voorbeelden van het misleiden van de gebruiker zijn de e-mails die iedereen krijgt waarin wordt geschreven “dat er een nieuwe Pinpas voor u klaar ligt”. U hoeft alleen nog maar even in te loggen op deze nep-site die lijkt op die van de bank. Voorbeelden van kwetsbaarheden in software zijn er ook volop; de reden dat u security-updates voor software altijd snel moet installeren hebben juist met dit soort kwetsbaarheden te maken.

Heel zelden echter zijn aanvallen gericht op de hardware, dus op de fysieke onderdelen van een computer. Maar dat is precies wat deze aanval doet.


Hoe werkt deze aanval dan?

De aanval maakt gebruik van een andere aanval met de naam Row hammering. Deze aanval maakt gebruik van twee zaken: een specifieke eigenschap van de geheugenmodules in de server en een manier waarop de server omgaat met geheugen van gevirtualiseerde servers.

Geheugenmodules bevatten cellen waarin data wordt weggeschreven. Deze cellen worden hiervoor onder lading gezet met een specifieke lading maar die lading verzwakt na verloop van tijd. Wanneer een aanvaller naastgelegen cellen heel vaak op een specifieke manier beschrijft blijkt het mogelijk om de aan te vallen cel een andere lading te geven en daarmee een andere waarde toe te kennen. Dit is het eerste deel van de aanval.

Wanneer een server wordt gebruikt voor virtualisatiedoeleinden dan heeft de beheerder twee opties bij het inrichten:

  • Elke virtuele server krijgt zijn eigen unieke stuk werkgeheugen
  • Elke virtuele server krijgt zijn eigen werkgeheugen toebedeeld maar de onderliggende fysieke server ontdubbelt de geheugenbanken.

Het blijkt dat virtuele servers veel dezelfde soort informatie in het werkgeheugen laden om te kunnen werken. Zo heeft elke virtuele server bijvoorbeeld een module om gebruikers te herkennen en heel veel servers hebben een zogeheten webserver aan boord om websites aan bezoekers te kunnen uitserveren.

Wanneer de onderliggende server de dubbele ingangen ontdubbelt levert dat effectief een lager geheugengebruik op en kunnen er meer virtuele servers op een fysieke server worden geladen. En dat is precies waar het eerste deel van de aanval gebruik van maakt: Door gericht een stuk geheugen te beschrijven en te herschrijven kan het geheugen van een andere virtuele server beïnvloed worden.

Waarom kiezen hostingpartijen er voor om geheugen te ontdubbelen?

Kort gezegd: Het bespaart kosten. Door geheugen te ontdubbelen kan geheugen worden overboekt: er kan meer virtueel geheugen aan virtuele servers toegekend worden dan er aan fysiek geheugen in de server zit omdat het ontdubbelt is.

Daar zitten echter wel risico's aan, zoals bijvoorbeeld een situatie waarbij een aantal virtuele servers probeert gebruik te maken van al het toebedeelde werkgeheugen voor bijvoorbeeld een grote rekenopdracht. Als dat werkgeheugen niet beschikbaar is dan bestaat de kans dat de onderliggende server tijdelijk gebruik gaat maken van een RAM-disk (een harde schijf) en die zijn aanzienlijk trager. Of het geheugen wordt gewoonweg niet toegekend en de virtuele server heeft pech.

Een ander risico is het risico waar we nu mee te maken hebben, Row hammering.

Hoe zit dit bij CloudVPS?

Onze virtualisatieomgeving is zo ingericht dat elke virtuele server zijn eigen unieke stuk werkgeheugen krijgt toebedeeld. Wij doen dus niet aan geheugenontdubbeling, bij ons krijgt u precies datgene dat u bestelt. Zeer specifiek staat kernel samepage merging (ksm) niet aan  Kortom: Bij ons is uw virtuele server niet kwetsbaar voor deze aanval.

Wanneer een Cloud goed wordt opgezet zijn de risico's goed te beheersen. Deze aanval toont goed aan dat het echter niet loont om hierbij hoekjes af te snijden. Dus dat doen we ook bewust niet.

Voor meer informatie

Een technische uitleg van de Row hammer-techniek  staat beschreven op Wikipedia (link is in het Engels):
https://en.wikipedia.org/wiki/Row_hammer

Een meer algemene uitleg van de Flip Feng Shui-aanval staat op Tweakers:
https://tweakers.net/nieuws/114473/flip-feng-shui-aanval-maakt-lekken-van-ssh-sleutel-uit-vm-mogelijk.html

Het Nationaal Cyber Security Centrum heeft een factsheet opgesteld met informatie over deze aanval en virtualisatie in het algemeen:
https://www.ncsc.nl/actueel/factsheets/factsheet-virtualiseer-met-verstand.html

 

Tags:

Comments (0)

Laat een reactie achter

Commenting is not available in this channel entry.
VPS Bestellen
VPS Bestellen