漏洞通告 | QEMU虚拟机逃逸漏洞（CVE-2020-14364）

漏洞背景

2019年11月17日天府杯国际网络安全大赛，第一次暴露在QEMU-KVM虚拟机的0day安全漏洞。2020年08月13日，ISC2020第八届互联网安全大会上，该漏洞被公开。该漏洞可越界读写某一个堆之后0xffffffff（4 GB内存）的内容，可实现完整的虚拟机逃逸，最终在宿主机中执行任意代码，造成较为严重的信息泄露。经阿里云工程师分析后判定，该漏洞是 Qemu 历史上最严重的虚拟机逃逸漏洞，影响到绝大部分使用 OpenStack 的云厂商。

漏洞描述

QEMU（quick emulator）是一套由Fabrice Bellard等人编写的以GPL许可证分发源码的模拟处理器，是众多云厂商底层均涉及的商用组件。

8 月 24 日，Qemu更新安全补丁修复了一个虚拟机逃逸漏洞（CVE-2020-14364），此漏洞为QEMU USB模拟器中的数组越界读写造成，漏洞位于 ./hw/usb/core.c 中，当程序处理来自客户机的USB数据包时，如果在 do_token_in 与 do_token_out中'USBDevice->setup_len'超过了USBDevice->data_buf[4096]，则存在此问题。越界后读取某一个堆之后 0xffffffff 的内容，从而强行终止虚拟化进程，进而实现虚拟机逃逸。

攻击者在拥有云环境虚拟机操作系统权限的情况下，可以利用该漏洞获取宿主机权限，进而攻击虚拟机所在资源池所有租户主机，甚至可通过已开通的内网权限攻击管理域系统。

影响版本

• Qemu 1.x – 5.1.0

  注：触发此漏洞需要虚拟机至少连接一个usb设备（云主机一般无usb连接）

解决方案

• 阿里云已于2019年12月完成该漏洞的修复，云上主机无需做修复操作。
  

• 请受影响的云厂商参考以下补丁进行修复：

  https://www.openwall.com/lists/oss-security/2020/08/24/3/1

  Red Hat：

  https://access.redhat.com/security/cve/cve-2020-14364

  Debain：

  https://security-tracker.debian.org/tracker/CVE-2020-14364

  
  

山石网科安全技术研究院简称“山石安研院”正式成立于2020年4月，是山石网科的信息安全智库部门，其前身是原安全服务部下的安全研究团队。山石安研院整体架构包括干将、莫邪两大安全实验室，以及安全预警分析、高端攻防培训两支独立的技术团队。安研院主要负责反APT跟踪和研究、出战及承办全球攻防赛事、高端攻防技术培训、全球中英文安全预警分析发布、各类软硬件漏洞挖掘和利用研究、承接国家网络安全相关课题、不定期发布年度或半年度的各类技术报告及公司整体攻防能力展现。技术方向包括移动安全、虚拟化安全、工控安全、物联安全、区块链安全、协议安全、源码安全、反APT及反窃密。

自2015年以来为多省公安厅提供技术支撑工作，为上合峰会、财富论坛、金砖五国等多次重大活动提供网络安保支撑工作。在多次攻防赛事中连获佳绩，网安中国行第一名，连续两届红帽杯冠军、网鼎杯线上第一名，在补天杯、极棒杯、全国多地的护网演习等也都获得优秀的成绩，每年获得大量的CNVD、CNNVD、CVE证书或编号。

如需帮助请咨询 [email protected]