Virtually Pwned: Hacking VMware [ITA - SMAU10]

download Virtually Pwned: Hacking VMware [ITA - SMAU10]

of 50

  • date post

    07-Dec-2014
  • Category

    Technology

  • view

    1.503
  • download

    3

Embed Size (px)

description

Queste slide sono state presentate a SMAU Milano 2010, il 20 Ottobre.

Transcript of Virtually Pwned: Hacking VMware [ITA - SMAU10]

  • 1. Virtually Pwned Hacking VMware Claudio Criscione @paradoxengine c.criscione@securenetwork.it
  • 2. /me Claudio Criscione
  • 3. Il contesto
  • 4. Violare la virtualizzazione significa... hacking al di sotto accedere direttamente ai sistemi aggirare controlli di permessi o network-level colpire pi bersagli contemporaneamente Il tutto, probabilmente su sistemi non aggiornati e su un ristretto numero di soluzioni Parliamo del 96% delle Fortune 1000 * * http://www.vmware.com/company/customers/
  • 5. Quindi? E' un problema interessante Esistono veramente degli attacchi Quali sono e come ci si difende ? ! ?
  • 6. L'elefante nel salotto
  • 7. Fuga dalla Virtual Machine
    • Si, si pu fare
    • Si, realizzarla nei fatti spesso difficile
    • Si, succeder ancora
    • No , non direttamente inclusa nel perimetro di un audit. Presuppone violazione!
    • Ci occuperemo della INFRASTRUTTURA
  • 8. Strumenti Del Mestiere
  • 9. Nemmeno uno...
  • 10. VASTO Virtualization ASsessment TOolkit E' un exploit pack per Metasploit specializzato nella sicurezza della Virtualizzazione e del Cloud. La beta 0.4 in corso di pubblicazione. La 0.3 gi su vasto.nibblesec.org Tnx to Luca Carettoni, Paolo Canaletti, drk1wi per l'aiuto.
  • 11. VMware.zip
    • Prodotti Desktop: Workstation, Player.
      • Non direttamente interessanti, per questo talk
    • Prodotti Server: ESX, ESXi (ora Hypervisor), VMware Server
    • Nodi di management: Virtual Center (vCenter)
    • Client: software Windows & iPad
  • 12. Il Piano
  • 13. Adoro i piani ben riusciti Con gli occhi del nemico... 1 Ricognizione 2 Attacco 3 Difesa
  • 14. Ricognizione
  • 15. Locale questa una VM? Facile Verifichiamo il MAC, i processi Non cos facile accesso all'hardware (CPU, RAM) Remoto trova la virtualizzazione... Identifichiamo i servizi di rete Utile per scoprire virtualizzazione nascosta Come e dove
  • 16. vmware_version Usa una API SOAP ad-hoc, disponibile nella maggior parte dei prodotti VMware Utilizza le principale funzionalit degli scanner Metasploit, quindi funziona su range di IP, si interfaccia con i database e cos via... [] ServiceInstance [ ]
  • 17. Un attacco a strati
  • 18.
  • 19.
  • 20. Attacco al client Take the admin, take the world
  • 21. VI Client Auto Update
  • 22. clients.xml 902 3 3.0.03.1.0https://*/client/VMware-viclient.exe
  • 23. vmware_vilurker Questo modulo consente di ottenere user-assisted code execution a partire da una situazione di Man In The Middle . Praticamente nessuno usa certificati trusted. Niente code signing .
  • 24.
  • 25. Al bersaglio
  • 26. vmware_guest_stealer CVE-2009-3733 Questo path traversal stato scoperto e reso pubblico da Flick e Morehouse alla fine dello scorso anno. L'exploit stato integrato in VASTO. Pu essere usato per recuperare qualsiasi file come root , ivi incluse macchine virtuali. Funziona su ESX, ESXi, Server non aggiornati.
  • 27.
  • 28. vmware_updatemanager_traversal JETTY-1004 VMware Update Manager utilizza Jetty 6.1.16 Normalmente installato sul sistema vCenter Jetty 6.1.16 vulnerabile ad un path traversal Ecco la magia: /vci/downloads/health.xml/%3F/../../../../../../../../../$FILE
  • 29. Ok, possiamo leggere qualsiasi file come System. E allora? Seguitemi...
  • 30. Mr Vpxd-profiler-*, suppongo File di debug prodotto da vCenter. Indovina cosa c' dentro... /SessionStats/SessionPool/Session/Id='06B90BCB-A0A4-4B9C-B680-FB72656A1DCB'/Username=FakeDomain FakeUser '/ SoapSession/Id ='AD45B176-63F3-4421-BBF0-FE1603E543F4'/Count/total 1
  • 31. Dove mettiamo questo SOAP ID?
  • 32. La soluzione
  • 33. vmware_session_rider Usare la sessione non semplicissimo: timeout, chiamate sequenziali e dipendenti. Il modulo agisce da proxy simulando la sessione di un altro utente . Consente di effettuare un finto login per ingannare il vSphere client. Session_rider + traversal = vmware_autopwn
  • 34. Bonus! Accesso in sola lettura al server vCenter = controllo del sistema!
  • 35.
  • 36. Una solida interfaccia Web & Complessa XSS vari URL Forwarding BONUS: La keyword di shutdown non stata modificata: shutdown di Tomcat (locale)
  • 37. vmware_webaccess_portscan CVE-2010-0686 URL Forwarding in realt significa POST arbitrari su sistemi remoti. Possiamo usare l'interfaccia web di VMware come proxy verso altri sistemi web, o per effettuare portscan!
  • 38. Attacco al backend vCenter si collega ai server ESX via SSL [SOAP] Normalmente, i