一安全研究公司發(fā)出警報(bào)，指一個(gè)新的Bug能讓黑客從內(nèi)部騎劫數(shù)據(jù)中心的決大部分機(jī)器。

該零日漏洞來自有著廣泛應(yīng)用的虛擬化軟件的傳統(tǒng)通用組件，可被黑客利用，使其滲透連接到數(shù)據(jù)中心網(wǎng)絡(luò)的每一臺(tái)機(jī)器。

目前大多數(shù)數(shù)據(jù)中心都將客戶(包括大型科技公司和小公司的客戶)密集地置于虛擬機(jī)上，或是將多個(gè)操作系統(tǒng)密集地置于單一的服務(wù)器上。虛擬化系統(tǒng)的使用旨在共享資源，但虛擬化系統(tǒng)在主機(jī)管理程序里仍然是獨(dú)立的實(shí)體。虛擬機(jī)的運(yùn)行由主機(jī)管理程序全力操縱。新發(fā)現(xiàn)的漏洞名為“毒液”(Venom)，全稱為“虛擬環(huán)境疏忽運(yùn)作操縱”(Virtualized Environment Neglected Operations Manipulation，縮寫為Venom)，黑客可以利用Venom無障礙訪問虛擬機(jī)管理程序，因而亦可訪問連在數(shù)據(jù)中心網(wǎng)絡(luò)上的所有設(shè)備。

Venom漏洞源于傳統(tǒng)的虛擬軟盤控制器，少有人理會(huì)該虛擬軟盤控制器，但如果虛擬軟盤控制器收到特制的代碼，整個(gè)虛擬機(jī)管理程序就會(huì)崩潰。如此黑客可以從自己的虛擬機(jī)破格訪問其他機(jī)器，包括其他人或其他公司擁有的機(jī)器。

該Bug是在開源計(jì)算機(jī)仿真器QEMU里發(fā)現(xiàn)的，最初的發(fā)現(xiàn)日期是2004年。許多現(xiàn)代虛擬化平臺(tái)(如Xen、KVM和Oracle的VirtualBox)都內(nèi)含該段有毛病的代碼。

VMware、微軟Hyper-V和Bochs的虛擬機(jī)管理程序不受影響。

漏洞是CrowdStrike的Jason Geffner發(fā)現(xiàn)的。他在周二一次電話采訪時(shí)表示，“數(shù)以百萬計(jì)的虛擬機(jī)在用含有該漏洞的平臺(tái)。”

Venom漏洞可能是今年發(fā)現(xiàn)的最大漏洞之一。發(fā)現(xiàn)漏洞的時(shí)間離去年臭名昭著Heartbleed漏洞一年多一點(diǎn)點(diǎn)。Heartbleed漏洞影響到開源加密軟件OpenSSL，可被不壞好意的人利用，以獲取受影響的服務(wù)器內(nèi)存中的數(shù)據(jù)。

Geffner用了一個(gè)比喻解釋兩個(gè)漏洞的不同，“Heartbleed能讓對(duì)手通過房子的窗戶看到數(shù)據(jù)，進(jìn)而收集信息。Venom卻可以讓人潛入到一棟房子里，以及附近所有的房子里。”

Geffner表示，他的公司正在與軟件廠商合作，以求在周三公布漏洞前修補(bǔ)好漏洞。由于許多公司有自己的硬件和軟件，因此數(shù)以千計(jì)的受影響的客戶在打補(bǔ)丁時(shí)無需下線。

他表示，目前最大的問題是有些公司運(yùn)行的系統(tǒng)無法自動(dòng)打補(bǔ)丁。

黑客如想利用Venom漏洞的話，就必須以高權(quán)限或“根”權(quán)限進(jìn)入一個(gè)虛擬機(jī)。Geffner給大家提了個(gè)醒，他表示，要從一個(gè)云計(jì)算服務(wù)商那租用一個(gè)虛擬機(jī)用于攻擊虛擬機(jī)管理程序，是件很簡(jiǎn)單的事。

Geffner表示，“至于有心搞事的人攻陷虛擬機(jī)管理程序后能夠做什么，這將處決于網(wǎng)絡(luò)的布局。”言下之意：要騎劫整個(gè)數(shù)據(jù)中心是可能的。

Dan Kaminsky是一位資深安全專家，從事安全研究工作。他在一份電子郵件里表示，Venom Bug十多年來未引起人們的注意，原因是誰也不會(huì)對(duì)傳統(tǒng)磁盤驅(qū)動(dòng)器系統(tǒng)瞥上一眼。而幾乎每一個(gè)虛擬化軟件里卻恰恰都含有傳統(tǒng)磁盤驅(qū)動(dòng)器系統(tǒng)。

Kaminsky表示，“運(yùn)行云系統(tǒng)的人真的要打補(bǔ)丁處理該Bug。應(yīng)該不會(huì)是件太頭痛的事，因?yàn)槟切┛赡苁艿较到y(tǒng)影響的大供應(yīng)商都已經(jīng)對(duì)漏洞采取了措施。”

由于Venom Bug是在CrowdStrike公司內(nèi)部發(fā)現(xiàn)的，坊間并無公開的代碼可作攻擊用。Geffner表示，利用Venom漏洞進(jìn)行攻擊并不難，但成功開發(fā)可用的惡意代碼“頗費(fèi)周折”。

Venom漏洞四月下旬披露后，一眾公司用了近兩周給受影響的系統(tǒng)打補(bǔ)丁。

Rackspace公司在一份電子郵件聲明中稱，Rackspace被告知旗下的一部分云服務(wù)器受到影響，Rackspace還稱旗下的系統(tǒng)已經(jīng)打了補(bǔ)丁。

開發(fā)了VirtualBox的甲骨文在一份電子郵件聲明中表示，甲骨文公司“知道”該問題存在，已經(jīng)修復(fù)了代碼，并說甲骨文將很快發(fā)布一個(gè)維護(hù)更新。

甲骨文軟件負(fù)責(zé)人Frank Mehnert表示，“我們將很快發(fā)布VirtualBox 4.3維護(hù)版。除此之外，受影響的用戶數(shù)量是有限的，因?yàn)榇蠖鄶?shù)標(biāo)準(zhǔn)虛擬機(jī)的配置禁用軟盤設(shè)備仿真。”

甲骨文的一位發(fā)言人拒絕就此發(fā)表評(píng)論。

Linux基金會(huì)負(fù)責(zé)Xen項(xiàng)目。其發(fā)言人拒絕就細(xì)節(jié)發(fā)表評(píng)論，但稱已經(jīng)發(fā)布了一個(gè)安全公告。