Confira !!
O código específico da AMD no componente de virtualização KVM do Linux anteriormente poderia permitir que um convidado KVM invadisse o host. Este bug persistiu no kernel do Linux do final de 2020 a março de 2021 antes de ser corrigido e é o primeiro problema conhecido de uma quebra de convidado para host que também não dependia de bugs nos componentes do espaço do usuário.
A iniciativa Project Zero do Google publicou hoje um estudo de caso sobre este problema de fuga de convidado para anfitrião. Esta vulnerabilidade não se origina de um problema com os processadores AMD EPYC, mas sim de um bug que estava dentro do código de máquina virtual baseado em kernel específico da AMD em torno de seu gerenciamento de virtualização aninhada SVM.
O estudo de caso na íntegra pode ser lido no blog do Google e é uma leitura técnica interessante para qualquer pessoa interessada no assunto em detalhes.
O Linux 5.10 e 5.11 foram originalmente afetados por esta vulnerabilidade rastreada como CVE-2021-29657 antes de ser corrigido no final do ciclo do Linux 5.12 e as correções sendo portadas para versões pontuais nas séries anteriores. Isso é problemático, considerando que a maioria dos principais provedores de nuvem dependem do KVM, mas pelo menos o bug teve vida curta dentro do kernel e apenas um bug de software, enquanto neste caso, um dos momentos felizes da infraestrutura pública / nuvem não muda muito rapidamente para o novo kernel versões.
A postagem termina com, "Esta postagem de blog descreve um escape de VM somente KVM, possibilitado por um pequeno bug no código específico de AMD do KVM para oferecer suporte à virtualização aninhada. Felizmente, o recurso que tornou esse bug explorável foi incluído apenas em duas versões do kernel (v5.10, v5.11) antes que o problema fosse detectado, reduzindo ao mínimo o impacto na vida real da vulnerabilidade. O bug e sua exploração ainda servem como uma demonstração de que vulnerabilidades de segurança altamente exploráveis ainda podem existir no próprio núcleo de um mecanismo de virtualização, que quase certamente é uma base de código pequena e bem auditada. Embora a superfície de ataque de um hipervisor como o KVM seja relativamente pequena de uma perspectiva pura do LoC, sua natureza de baixo nível, interação próxima com hardware e complexidade pura tornam muito difícil evitar bugs críticos de segurança. "
Os engenheiros do Google envolvidos pedem maior investimento em recursos de detecção e melhor isolamento de hosts VM. Felizmente, a AMD tem contratado mais engenheiros de software Linux nos últimos meses e eles continuam postando novas vagas, incluindo na área de virtualização, à medida que continuam melhorando seu suporte de software Linux em geral.
Até a próxima !!
Nenhum comentário:
Postar um comentário