Bundesamt für Sicherheit in der Informationstechnik

G 2.150 Fehlerhafte Integration von Gastwerkzeugen in virtuellen IT-Systemen

Mittels Gastwerkzeugen, wie z. B. den Citrix XenTools oder den VMware Tools, können die virtuellen IT-Systeme in der Virtualisierungsinfrastruktur durch den Administrator vom Virtualisierungsserver aus gesteuert und verwaltet werden. Des Weiteren integrieren diese Programme Treiber und Dienste zur Kommunikation der virtualisierten Betriebssysteme mit dem Host.

Über die Gastwerkzeuge werden verschiedene Funktionen verwirklicht, wie z.B.:

  • Synchronisation der Systemzeit einer virtuellen Maschine mit dem Host,
  • Anforderung von Hauptspeicher im virtuellen IT-System und Freigabe dieses Speichers für andere Gäste auf dem Virtualisierungsserver (Ballooning),
  • Herunterfahren des Betriebssystems des virtuellen IT-Systems ohne Anmeldung,
  • Optimierung virtueller Festplatten (Thin Provisioning).

Die Gastwerkzeuge verfügen im Kontext der virtuellen Maschine über weitreichende Berechtigungen auf Systemdateien und -dienste um die beschriebenen Funktionen zu ermöglichen. Diese Funktionen können einem etablierten Berechtigungskonzept sowie weiteren Anforderungen an die virtuelle Umgebung widersprechen, wenn die vorhandenen Konzepte und Anforderungen bei der Planung der Installation der Gastwerkzeuge nicht beachtet und umgesetzt werden. Dadurch können eventuell Funktionen genutzt werden, die mit den Richtlinien der Organisation nicht vereinbar sind.

Herunterfahren eines virtuellen IT-Systems ohne erforderliche Berechtigung

Wurde beispielsweise in einer Organisation festgelegt, dass virtuelle und physische Server grundsätzlich nur nach der Anmeldung eines zuständigen Administrators und unter Angabe einer Begründung heruntergefahren werden dürfen, können die Gastwerkzeuge dazu genutzt werden, diese Vorgaben zu umgehen. Mittels der Gastwerkzeuge ist es dem Administrator eines Virtualisierungsservers möglich, ein beliebiges, anderes virtuelles IT-System herunterzufahren. Dazu muss er selbst nicht notwendigerweise ein berechtigter Administrator des betreffenden virtuellen IT-Systems sein. Die Administratoren der Virtualisierungsserver können damit die für die virtuellen IT-Systeme bestehenden Richtlinien und Regelungen zur Nutzung von Systemen unterlaufen und somit die Verfügbarkeit, Integrität und Vertraulichkeit der virtuellen IT-Systeme gefährden.

Es gibt weiterhin Virtualisierungsprodukte (wie z.B. VMware Workstation, VMware Server), die umfangreiche Funktionen besitzen, um in eine Entwicklungsumgebung integriert zu werden. Hier gibt es für die Gastwerkzeuge in virtuellen IT-Systemen über die oben angegebenen Möglichkeiten hinaus zusätzliche Funktionen. So können Skripte für Testzwecke in einem virtuellen IT-System hinterlegt und durch Gastwerkzeuge von außen gesteuert werden. Dazu ist keine Interaktion mit und auch keine Authentisierung an dem virtuellen IT-System selbst notwendig. Die Aktionen werden nur durch die Virtualisierungssoftware bzw. den Hypervisor und die Gastwerkzeuge initiiert. Werden nun virtuelle IT-Systeme aus Entwicklungsumgebungen in die virtuelle Infrastruktur für den Produktivbetrieb übernommen, können Sicherheitslücken in der Produktivumgebung entstehen, da die speziellen für die Entwicklungsumgebung vorgesehenen Werkzeuge und Schnittstellen in der Produktivumgebung weiterhin wirksam sind.

Beispiel:

Eine Behörde plant die Aktualisierung einer komplexen Client-/Serveranwendung. Mit der Aktualisierung wird ein externes Beratungsunternehmen beauftragt. Die Entwicklung und der Test der Aktualisierungsschritte erfolgt in einer virtuellen Umgebung, die ein vollständiges Abbild der Produktivumgebung darstellt. Die Testsysteme sind Kopien der Produktivsysteme, die in einem abgeschotteten Netz bereitgestellt wurden.

Einer der externen Berater ist für die Aktualisierung der Clientanwendung zuständig. Die Installation der Anwendung ist auf dem Client recht komplex. Zudem müssen bei jeder Neuinstallation bestimmte festgelegte Konfigurationsschritte auf dem Server durchgeführt werden, damit die neue Clientversion funktionieren kann. Sind die Daten auf dem Server migriert, können Clients mit einer alten Softwareversion nicht mehr auf den Server zugreifen.

Um die immer gleichen Konfigurationsschritte nicht immer wieder manuell durchführen zu müssen, hat der externe Berater Skripte erstellt. Diese sollen zum einen den Client bei jedem Neustart neu konfigurieren und zum anderen über die Gastwerkzeuge Skripte auf dem Server installieren und ausführen.

Der zuständige Referatsleiter möchte sich über den Projektfortschritt informieren und bittet einen seiner Mitarbeiter darum, ihm den Client vorzuführen. Da noch keine Installationspakete für die Clientsoftware in der Produktivumgebung existieren, entscheidet sich der Mitarbeiter, das virtuelle Arbeitsplatzsystem des externen Beraters zu kopieren. Er transferiert es in das Produktivnetz und startet es, um es seinem Vorgesetzten zu demonstrieren.

Im Hintergrund werden jetzt die im Client integrierten Skripte des externen Beraters aktiviert und der Produktivserver der Behörde wird damit auf die neue Version aktualisiert. Die Mitarbeiter können nicht mehr auf den Server zugreifen und es kommt zu einem mehrstündigen Produktionsausfall, da eine Datenwiederherstellung durchgeführt werden muss.

Stand: 12. EL Stand 2011