Techworld sprak met Jeroen van de Kamp van Login Consultants over dit vermeende datadiefstal probleem met de VMware hypervisor. “In principe is het een storm in een glas water. Het draait bij beheer altijd om vertrouwen. Wanneer iemand root access heeft, kan hij sowieso vrij veel. Voor bedrijven en hun personeel intern vind ik dit dus eigenlijk niet zo schokkend."

Root betekent macht

Er zijn nog vele andere manieren om datadiefstal te plegen, volgens Jeroen van de Kamp. "Vaak kun je zelfs gewoon direct de achterliggende database aanspreken. Dan is het nog makkelijker om data te stelen als in dit voorbeeld. Kijk, de essentie van root access is dat je diep in het systeem kan, dus het is nogal logisch dat misbruik ook makkelijker wordt.”

Wat echter wel enigszins aandacht verdient, volgens Van de Kamp, is wanneer het gaat over de cloud. “In dat geval praten we over beheerders in een datacentrum met servers, waarop virtuele machines staan waar ze in principe niet bij mogen kunnen. Het is dan iemand van buiten het bedrijf en die wil je niet hebben rondneuzen in je data. In een datacentrum worden de servers weliswaar beheerd door de admins aldaar, maar ze komen niet bij de data zelf. Die is van de klant en daarmee volledig zijn verantwoordelijkheid. De data is dan ook geëncrypteerd. Met de methode die BeyondTrust gedemonstreerd heeft, is er geen sprake van encryptie.”

“Zoals VMware ook al zegt in hun reactie is het bij veel, zo niet alle, software linksom of rechtsom mogelijk om data te stelen als men root access heeft. Andere hypervisors, bijvoorbeeld ook Hyper-V van Microsoft, geven maandelijks ontzettend veel patches uit."

Inbraak

“Als iemand zonder de sleutels van de voordeur van alles kan stelen zonder dat de bewoner het door heeft, dan is er pas echt wat aan de hand. Maar in dit geval heb je voor de hack wel degelijk die sleutels nodig. Dit verhaal over VMware is daarom dus niet bepaald schokkend wat mij betreft. Maar het is altijd een goed idee om het in de gaten te houden en onderzoek te doen naar misbruik. VMware zal gewoon met een patch komen. Het is immers een hack, maar het is geen drama.”

Dat vSphere met ESX bevattelijker is dan ESXi, komt doordat het beheer bij ESX via een kleine ingebouwde Linux-installatie gebeurt en bij ESXi via rechtstreeks contact met de VMkernel. “Het gevolg daarvan, is dat er veel meer manieren zijn om de gevoelige data te bereiken. Je kunt bij ESX op veel meer manieren bij de management features, dus eigenlijk is het heel logisch dat ESX bevattelijker is voor datadiefstal."

Een andere bug

Overigens is er nog een ander beveiligingslek aanwezig in VMware. Van de Kamp begint er zelf over. "Ter illustratie dat er wel meer manieren zijn om data te stelen met VMware... We kwamen er laatst in de praktijk achter dat het ook kan zonder root access. Een collega van mij was bezig met Terminal Servers op VMware en hij was ingelogd via het Remote Desktop Protocol. Een andere collega zat op de console."

"Op een gegeven moment drukte de collega die via RDP ingelogd is op CTRL+C en vervolgens de collega die op de console zit op CTRL+V en die krijgt de complete inhoudt van het klembord van de collega op RDP! Dat is een wat minder bekend probleem als het probleem waar we het hier in principe over hebben, maar het heeft ook nadrukkelijk te maken met vSphere. Het probleem bevindt zich alleen op een niveau hoger."

"Je zou dus in principe als hacker je geluk kunnen beproeven door aangelogd te zijn op de server en de hele dag te gaan zitten CTRL+V-en, waarmee je alle informatie krijgt die andere gebruikers die op de server ingelogd zijn op het klembord zetten.”

Bron: Techworld