DHCP Flood: Googles Cloud-VMs lassen sich per DHCP übernehmen

Angreifer könnten Root-Rechte in fremden VMs der Google-Cloud erhalten. Praktische Angriffe sind unwahrscheinlich, Updates gibt es nicht.

Artikel veröffentlicht am ,
Die Lücke in der Google-Cloud ist weiterhin nicht behoben.
Die Lücke in der Google-Cloud ist weiterhin nicht behoben. (Bild: Carsten Koall/Getty Images)

Unter bestimmten Umständen kann es Angreifern gelingen, virtuelle Maschinen (VM) in Googles Compute Engine vollständig zu übernehmen und Root-Rechte zu erlangen. Gezielt ausgenutzt wird dabei eine sogenannte DHCP-Flood, wie der Sicherheitsforscher Imre Rad auf Github in einer Zusammenfassung schreibt.

Stellenmarkt
  1. Fachinformatiker Systemintegration (m/w/d) 1st und 2nd Level Support
    Kliniken Dritter Orden gGmbH, München
  2. Requirements Engineer (m/f/d) Automotive
    Elektrobit Automotive GmbH, Berlin, Böblingen
Detailsuche

Demnach ist der Fehler Google bereits seit vergangenem September bekannt, ein Update steht aber immer noch nicht bereit. Wie Rad schreibt, müssen für einen erfolgreichen Angriff auf Dritte jedoch einige enge Voraussetzungen erfüllt sein, so dass eine praktische und großangelegte Ausnutzung der Sicherheitslücke wohl wenig wahrscheinlich erscheint.

Ursache für den Angriff sei ein schwacher Zufallszahlengenerator in der ISC-Implementierung des DHCP-Clients sowie eine "unglückliche Kombination zusätzlicher Faktoren". Zu Letzterem gehört, dass sowohl die Prozess-ID als auch die Mac-Adresse erratbar seien. Beide werden aber zusammen mit der Unix-Zeit zum Prozessstart als Ausgangslage für eine Zufallszahl (XID) verwendet, die der DHCP-Client nutzt, um mit den Servern von Google zu kommunizieren.

Die Idee des Angriffs ist es nun, die angegriffenen Server so lange mit DHCP-Paketen samt der XID zu überfluten, bis der Client die eigenen Serverpakete akzeptiert statt jene von Google. Über diesen nun selbst kontrollierten Metadaten-Server lassen sich dann SSH-Schlüssel verteilen, um sich mit Root-Rechten anzumelden. Ein ähnlicher Weg zum Imitieren des Metadaten-Servers von Google wurde bereits vor über einem Jahr als Angriff beschrieben.

Einige Einschränkungen und wenig Reaktion von Google

Golem Karrierewelt
  1. Adobe Photoshop Aufbaukurs: virtueller Zwei-Tage-Workshop
    14./15.07.2022, Virtuell
  2. Kubernetes – das Container Orchestration Framework: virtueller Vier-Tage-Workshop
    11.-14.07.2022, Virtuell
Weitere IT-Trainings

Für einen erfolgreichen Angriff muss, wie erwähnt, die XID korrekt ermittelt werden, was durch den unzureichenden Zufallszahlengenerator erleichtert wird. Darüber hinaus müssen sich beide Systeme, also angegriffener Client und der imitierte Metadaten-Server, im gleichen Subnetz befinden. Ebenso müsste der Zielserver entweder neu starten oder sein DHCP-Lease erneuern.

Um tatsächlich fremde VMs zu übernehmen, müssten darüber hinaus deren interne IP-Adresse bekannt und deren Firewall vollständig offen sein. Das dürfte einen erfolgreichen Angriff zwar sehr unwahrscheinlich machen. Der Forscher Rad hält dies dennoch für möglich und empfiehlt deshalb einige Vorsichtsmaßnahmen gegen den von ihm beschriebenen Angriff.

Hohe Rabatte bei den Amazon Blitzangeboten

Der Forscher schreibt darüber hinaus, dass Google auch nach mehreren Nachfragen zum Status des Fehlerberichts wohl zuletzt Anfang Dezember zurückhaltend geantwortet habe. Nach etwa einem halben Jahr hat sich Rad letztlich zur Veröffentlichung der von ihm gefundenen Lücke entschieden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


bootstorm 30. Jun 2021

Der Angreifer sitzt mit auf der selben Broadcastdomain, wie das NIC?

tatiplut 30. Jun 2021

Ins gleiche Subnetz zu kommen (oder eine VM mit komplett offener Firewall zu finden) ist...



Aktuell auf der Startseite von Golem.de
SFConservancy
Open-Source-Entwickler sollen Github wegen Copilot verlassen

Ähnlich wie schon vor Jahrzehnten mit Sourceforge sollen Open-Source-Projekte nun auch Github verlassen.

SFConservancy: Open-Source-Entwickler sollen Github wegen Copilot verlassen
Artikel
  1. Connect-Festnetztest: Telekom gewinnt, Vodafone schwach, Deutsche Glasfaser besser
    Connect-Festnetztest
    Telekom gewinnt, Vodafone schwach, Deutsche Glasfaser besser

    Erstmals nahm Deutsche Glasfaser an dem Vergleich teil und war besser als die Telekom. Allerdings sind beide in unterschiedlichen Kategorien gelistet.

  2. Wärmeversorgung: Berlin baut Thermoskanne gegen Gasnotstand
    Wärmeversorgung
    Berlin baut Thermoskanne gegen Gasnotstand

    Der Versorger Vattenfall baut in Berlin einen riesigen Warmwasserspeicher, um Häuser im Winter heizen zu können. Das könnte beim möglichen Gasnotstand helfen.

  3. Chrome OS Flex: Das Apple Chromebook
    Chrome OS Flex
    Das Apple Chromebook

    Ein zehn Jahre altes Notebook lässt sich mit Chrome OS Flex wieder flott machen. Wir haben Googles Betriebssystem ausprobiert und waren begeistert.
    Ein Erfahrungsbericht von Martin Wolf

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MSI RTX 3080 12GB günstig wie nie: 949€ • AMD Ryzen 7 günstig wie nie: 259€ • Der beste 2.000€-Gaming-PC • Cooler Master 34" UWQHD 144 Hz günstig wie nie: 467,85€ • Asus RX 6900 XT OC günstig wie nie: 1.049€ • Mindstar (Gigabyte RTX 3060 399€) • Galaxy Watch3 45 mm 119€ [Werbung]
    •  /