Virtually Pwned: Hacking VMware [ITA - SMAU10]

Download Virtually Pwned: Hacking VMware [ITA - SMAU10]

Post on 07-Dec-2014

1.502 views

Category:

Technology

3 download

Embed Size (px)

DESCRIPTION

Queste slide sono state presentate a SMAU Milano 2010, il 20 Ottobre.

TRANSCRIPT

<ul><li> 1. Virtually Pwned Hacking VMware Claudio Criscione @paradoxengine c.criscione@securenetwork.it </li> <li> 2. /me Claudio Criscione </li> <li> 3. Il contesto </li> <li> 4. Violare la virtualizzazione significa... hacking al di sotto accedere direttamente ai sistemi aggirare controlli di permessi o network-level colpire pi bersagli contemporaneamente Il tutto, probabilmente su sistemi non aggiornati e su un ristretto numero di soluzioni Parliamo del 96% delle Fortune 1000 * * http://www.vmware.com/company/customers/ </li> <li> 5. Quindi? E' un problema interessante Esistono veramente degli attacchi Quali sono e come ci si difende ? ! ? </li> <li> 6. L'elefante nel salotto </li> <li> 7. Fuga dalla Virtual Machine <ul><li>Si, si pu fare </li></ul><ul><li>Si, realizzarla nei fatti spesso difficile </li></ul><ul><li>Si, succeder ancora </li></ul><ul><li>No , non direttamente inclusa nel perimetro di un audit. Presuppone violazione! </li></ul><ul><li>Ci occuperemo della INFRASTRUTTURA </li></ul></li> <li> 8. Strumenti Del Mestiere </li> <li> 9. Nemmeno uno... </li> <li> 10. VASTO Virtualization ASsessment TOolkit E' un exploit pack per Metasploit specializzato nella sicurezza della Virtualizzazione e del Cloud. La beta 0.4 in corso di pubblicazione. La 0.3 gi su vasto.nibblesec.org Tnx to Luca Carettoni, Paolo Canaletti, drk1wi per l'aiuto. </li> <li> 11. VMware.zip <ul><li>Prodotti Desktop: Workstation, Player. </li></ul><ul><li><ul><li>Non direttamente interessanti, per questo talk </li></ul></li></ul><ul><li>Prodotti Server: ESX, ESXi (ora Hypervisor), VMware Server </li></ul><ul><li>Nodi di management: Virtual Center (vCenter) </li></ul><ul><li>Client: software Windows &amp; iPad </li></ul></li> <li> 12. Il Piano </li> <li> 13. Adoro i piani ben riusciti Con gli occhi del nemico... 1 Ricognizione 2 Attacco 3 Difesa </li> <li> 14. Ricognizione </li> <li> 15. Locale questa una VM? Facile Verifichiamo il MAC, i processi Non cos facile accesso all'hardware (CPU, RAM) Remoto trova la virtualizzazione... Identifichiamo i servizi di rete Utile per scoprire virtualizzazione nascosta Come e dove </li> <li> 16. vmware_version Usa una API SOAP ad-hoc, disponibile nella maggior parte dei prodotti VMware Utilizza le principale funzionalit degli scanner Metasploit, quindi funziona su range di IP, si interfaccia con i database e cos via... [] ServiceInstance [ ] </li> <li> 17. Un attacco a strati </li> <li> 18. </li> <li> 19. </li> <li> 20. Attacco al client Take the admin, take the world </li> <li> 21. VI Client Auto Update </li> <li> 22. clients.xml 902 3 3.0.03.1.0https://*/client/VMware-viclient.exe</li> <li> 23. vmware_vilurker Questo modulo consente di ottenere user-assisted code execution a partire da una situazione di Man In The Middle . Praticamente nessuno usa certificati trusted. Niente code signing . </li> <li> 24. </li> <li> 25. Al bersaglio </li> <li> 26. vmware_guest_stealer CVE-2009-3733 Questo path traversal stato scoperto e reso pubblico da Flick e Morehouse alla fine dello scorso anno. L'exploit stato integrato in VASTO. Pu essere usato per recuperare qualsiasi file come root , ivi incluse macchine virtuali. Funziona su ESX, ESXi, Server non aggiornati. </li> <li> 27. </li> <li> 28. vmware_updatemanager_traversal JETTY-1004 VMware Update Manager utilizza Jetty 6.1.16 Normalmente installato sul sistema vCenter Jetty 6.1.16 vulnerabile ad un path traversal Ecco la magia: /vci/downloads/health.xml/%3F/../../../../../../../../../$FILE </li> <li> 29. Ok, possiamo leggere qualsiasi file come System. E allora? Seguitemi... </li> <li> 30. Mr Vpxd-profiler-*, suppongo File di debug prodotto da vCenter. Indovina cosa c' dentro... /SessionStats/SessionPool/Session/Id='06B90BCB-A0A4-4B9C-B680-FB72656A1DCB'/Username=FakeDomain FakeUser '/ SoapSession/Id ='AD45B176-63F3-4421-BBF0-FE1603E543F4'/Count/total 1 </li> <li> 31. Dove mettiamo questo SOAP ID? </li> <li> 32. La soluzione </li> <li> 33. vmware_session_rider Usare la sessione non semplicissimo: timeout, chiamate sequenziali e dipendenti. Il modulo agisce da proxy simulando la sessione di un altro utente . Consente di effettuare un finto login per ingannare il vSphere client. Session_rider + traversal = vmware_autopwn </li> <li> 34. Bonus! Accesso in sola lettura al server vCenter = controllo del sistema! </li> <li> 35. </li> <li> 36. Una solida interfaccia Web &amp; Complessa XSS vari URL Forwarding BONUS: La keyword di shutdown non stata modificata: shutdown di Tomcat (locale) </li> <li> 37. vmware_webaccess_portscan CVE-2010-0686 URL Forwarding in realt significa POST arbitrari su sistemi remoti. Possiamo usare l'interfaccia web di VMware come proxy verso altri sistemi web, o per effettuare portscan! </li> <li> 38. Attacco al backend vCenter si collega ai server ESX via SSL [SOAP] Normalmente, i certificati non sono trusted Vediamolo in un bellissimo* grafico SSL [Cert1] vCenter SSL [CertA] SSL [CertB] *Diagram powered by ORACLE's Open Office Sar sicuramente pi bello con LibreOffice ESXb ESXa </li> <li> 39. Backend blues <ul><li>MITM vCenter ESX = Connessione interrotta </li></ul><ul><li>Alla riconnessione, il vCenter verificher, fallendo, il certificato. </li></ul><ul><li>SSL MITM L'amministratore ha un warning standard </li></ul><ul><li>L'amministratore accessa bye bye password </li></ul></li> <li> 40. Se nulla ha funzionato... </li> <li> 41. vmware_login Puoi sempre fare bruteforce! Il modulo vmware_login lavora sullo standard metasploit. Local Administrator, root: no lockout (by default) Bruteforce efficace . </li> <li> 42. </li> <li> 43. Che altro? Numerosi vettori per escalation of privileges. Saranno inclusi in VASTO in futuro Spesso a bassissimo livello: I/O Ports, PCI ports... Che altro? </li> <li> 44. Nuove frontiere dell'attacco Paravirtualization e software di supporto </li> <li> 45. vmware_sfcb_exec CVE-2010-2667 Una vulnerabilit nella Virtual Appliance Management Infrastructure che consente di eseguire codice come root. Richiede autenticazione, OPPURE pu essere eseguita localmente. </li> <li> 46. L'attacco 121 ;$(echo${IFS}ls${IFS}-l)&gt;/tmp/echo </li> <li> 47. Can we attack virtualization? </li> <li> 48. Riassumendo Possiamo attaccare il client via sniff della password o controllare il sistema dell'admin. Possiamo aggredire l'hypervisor ed i suoi componenti core (via path traversal ) Possiamo prendere il controllo delle sessioni degli altri utenti. Possiamo aggredire l'interfaccia web . Possiamo sfruttare vulnerabilit nei servizi di supporto . C' decisamente un problema! </li> <li> 49. Domande </li> <li> 50. E ora? Riconsiderate la strategia di virtualizzazione sicura Keep on hacking! Claudio Criscione Twitter - @paradoxengine Email - [email_address] Blog &amp; Download - vasto.nibblesec.org Work &amp; Virtualization PenTest securenetwork.it </li> </ul>