VENOM云漏洞因?yàn)橼s上了近來(lái)漏洞問(wèn)題大盛的趨勢(shì)，從而引起了媒體的更多關(guān)注。但是，它是否是一個(gè)宣告互聯(lián)網(wǎng)時(shí)代終結(jié)的漏洞，還是只不過(guò)是一個(gè)貌似嚴(yán)重但實(shí)際影響不大的問(wèn)題呢？

VENOM的全稱是虛擬化環(huán)境中被忽視的業(yè)務(wù)操作篡改，它利用虛擬機(jī)中虛擬軟盤驅(qū)動(dòng)器代碼的漏洞允許攻擊者突破客戶操作系統(tǒng)從而主機(jī)。

這有可能給業(yè)界帶來(lái)一個(gè)巨大的影響，因?yàn)樵乒?yīng)商們都依靠虛擬平臺(tái)來(lái)提供他們的云能力，而大多數(shù)企業(yè)也是使用虛擬機(jī)來(lái)交付他們很大一部分的服務(wù)器的。跳出客戶操作系統(tǒng)進(jìn)入主機(jī)的能力讓攻擊者能夠訪問(wèn)其他的虛擬機(jī)，甚至是云環(huán)境中大量其他組織的機(jī)器。這就有可能導(dǎo)致高度敏感信息的泄露——這主要取決于云中存儲(chǔ)的是什么樣的信息——這將使企業(yè)用戶對(duì)云安全的信心受到較大影響。

但是，待云漏洞事件被曝光且各種塵囂落定之后，我們也就得以更好地對(duì)其長(zhǎng)期影響做出評(píng)估。

首先，讓我們來(lái)看看云服務(wù)供應(yīng)商。

云供應(yīng)商打補(bǔ)丁都是比較快速的，而這一習(xí)慣也被證明是應(yīng)當(dāng)VENOM漏洞的正確方法。對(duì)于企業(yè)用戶來(lái)說(shuō)，對(duì)他們的具體云進(jìn)行評(píng)估并確保他們的供應(yīng)商已經(jīng)安裝相關(guān)補(bǔ)丁是非常重要的。

VENOM主要影響Xen、VirtualBox和KVM。亞馬遜為AWS使用了 Xen管理程序的一個(gè)改進(jìn)版本，并很快就宣布其服務(wù)并未收到這次漏洞事件的影響；微軟Azure也同樣沒(méi)有受到影響。其他諸如Rackspace和IBM 這樣的主流云供應(yīng)商也為他們的系統(tǒng)打好了補(bǔ)丁。很多供應(yīng)商在漏洞詳細(xì)信息被披露之前就已經(jīng)完成了補(bǔ)丁升級(jí)工作；而其他供應(yīng)商也都在一周內(nèi)完成了打補(bǔ)丁。

在企業(yè)網(wǎng)絡(luò)中，云補(bǔ)丁管理流程并不是由云供應(yīng)商管理的；因此，黑客更有機(jī)會(huì)能夠找到未打補(bǔ)丁的系統(tǒng)。企業(yè)組織需要確保他們的虛擬機(jī)是在他們的補(bǔ)丁策略控制之下的，如果不是這樣，那么應(yīng)使用針對(duì)受影響服務(wù)的補(bǔ)丁作為一種應(yīng)急響應(yīng)。但是，攻擊范圍減少了，這是因?yàn)闈撛诘墓粽弑幌拗圃谀軌蛟L問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)的人員中了。

另一個(gè)需要提及限制了漏洞影響范圍的關(guān)鍵細(xì)節(jié)就是要求攻擊者不僅要登陸客戶操作系統(tǒng)，而且還要擁有root級(jí)別的訪問(wèn)權(quán)限。在一個(gè)企業(yè)環(huán)境中，這一級(jí)別的權(quán)限只會(huì)被授予最有可能訪問(wèn)主機(jī)操作系統(tǒng)的系統(tǒng)管理員。為了在這樣一個(gè)應(yīng)用場(chǎng)景下讓VENOM發(fā)揮作用，就需要運(yùn)行內(nèi)核級(jí)的漏洞利用以便提升權(quán)限。但是，在云環(huán)境中，最有可能的情況就是攻擊者注冊(cè)一個(gè)云服務(wù)并獲得他們自己的Linux機(jī)器（他們將擁有root訪問(wèn)權(quán)限），進(jìn)而使用這個(gè)機(jī)器開(kāi)始發(fā)動(dòng)攻擊。

總之，VENOM是一個(gè)有趣的云漏洞，它驗(yàn)證了責(zé)任披露和高效云補(bǔ)丁管理的價(jià)值所在。在把漏洞發(fā)現(xiàn)公之于眾之前把相關(guān)信息通報(bào)給主流供應(yīng)商讓他們有機(jī)會(huì)在漏洞被利用前為云打好補(bǔ)丁。
幸運(yùn)的是，這個(gè)漏洞對(duì)企業(yè)組織的影響相對(duì)較小，只涉及為內(nèi)部虛擬機(jī)做好補(bǔ)丁升級(jí)工作，并確保云供應(yīng)商使用了補(bǔ)丁升級(jí)程序。從此次事件中出現(xiàn)的主要問(wèn)題是，虛擬機(jī)管理程序并不如我們所希望的那樣安全，需要投入更多的研究力量以確保沒(méi)有更嚴(yán)重的安全漏洞會(huì)被利用。