未修补的虚拟机接管漏洞影响谷歌计算引擎

影响谷歌计算引擎平台的未修补安全漏洞可能被攻击者滥用，通过网络接管虚拟机。

“这是通过从目标虚拟机的角度模拟元数据服务器来实现的，”安全研究员Imre Rad在周五发布的分析中说。“通过利用此漏洞，攻击者可以通过SSH（公钥身份验证）授予自己访问权限，然后以root用户身份登录。”

Google Compute Engine（GCE）是Google云平台的基础设施即服务（IaaS）组件，用户可以根据需要创建和启动虚拟机（VM）。GCE提供了一种以元数据服务器的形式存储和检索元数据的方法，该服务器提供了一个中心点，以键值对的形式设置元数据，然后在运行时提供给虚拟机。

据研究人员称，该问题是ISC DHCP客户端使用弱伪随机数的结果，导致对手使用一组预先计算的事务标识符（又名XID）制作多个DHCP数据包，并淹没受害者的DHCP客户端，最终导致模拟元数据服务器。

动态主机配置协议（DHCP）是一种网络管理协议，用于在IP网络上自动配置设备。DHCP服务器为网络上的每个客户端设备动态分配IP地址和其他网络配置参数，以便它们可以与其他网络通信。

通过使用DHCP数据包流攻击受害者虚拟机，我们的想法是利用“可预测”的XID，让客户端接受攻击者通过谷歌的DHCP服务器数据包发送的数据包，在这一点上，受害者虚拟机上的网络堆栈可以配置为使用恶意元数据服务器。

“如果XID是正确的，受害机器将应用网络配置，”Rad在技术报告中解释道。“这是一种竞争条件，但由于洪水速度快且穷尽，元数据服务器没有真正获胜的机会。此时，攻击者可以重新配置受害者的网络堆栈。”

考虑到元数据服务器可用于分发和管理SSH密钥，客户机—；现在已经与流氓服务器建立了TCP连接—；可以检索攻击者的SSH公钥，然后攻击者可以使用该公钥以root用户身份打开远程shell。

在潜在的现实场景中，对手可能会滥用上述攻击链，在目标虚拟机重新启动时或在云平台防火墙关闭的情况下通过互联网完全访问目标虚拟机。

谷歌是在2020年9月27日得知这一问题的，该公司后来承认了这一报告，称这是一个“不错的发现”，但尚未推出补丁，也没有提供何时可以进行修正的时间表。

“在修复程序到达之前，不要使用DHCP或设置主机级防火墙规则，以确保DHCP通信来自元数据服务器（169.254.169.254），”Rad指出。“在虚拟机之间阻止UDP/68，以便只有元数据服务器可以执行DHCP。”

这远非Rad第一次在谷歌云平台上发现问题。

2020年9月，谷歌纠正了操作系统配置工具中的一个本地权限提升漏洞，该漏洞可能被在受影响的GCE虚拟机上拥有代码执行权限的参与者利用，以执行未经授权的操作。

Then earlier this January, Rad also found that it was possible to achieve arbitrary code execution in a virtual machine by obtaining a shell on the Cloud SQL database service. The issue was addressed by Google on Feb. 16, 2021.