CVE-2024-50386丨Apache CloudStack：直接下载的模板可用于滥用基于 KVM 的基础设施

Apache CloudStack中的账户用户默认被允许注册模板，这些模板可以直接下载到主存储设备上用于部署实例。由于CloudStack 4.0.0至4.18.2.4和4.19.0.0至4.19.1.2版本缺少对KVM兼容模板的验证检查，能够注册模板的攻击者可以利用它们在基于KVM的环境上部署恶意实例，并借此机会访问主机文件系统，可能导致资源完整性和机密性受到破坏、数据丢失、拒绝服务和CloudStack管理的基于KVM的基础设施可用性受损。建议用户升级到Apache CloudStack 4.18.2.5或4.19.1.3及更高版本，以解决这个问题。此外，所有用户注册的KVM兼容模板都应进行扫描和检查，确保它们是平面文件，不应使用任何额外或不必要的特性。例如，操作员可以在基于文件的存储设备上运行以下命令并检查输出内容。如果验证的磁盘输出为空，则表示它没有引用主机文件系统；相反，如果验证的磁盘输出不为空，则可能表示磁盘已遭破坏。但请注意，（i）最初从模板创建的卷会有对模板的引用；（ii）在迁移时卷可以被整合，失去其对模板的引用。因此，针对主存储的命令执行可能会出现误报和漏报。对于存储在/path/to/storage/路径下的每个文件，操作员可以运行以下命令来检查整个模板/卷的磁盘特征：```bashfor file in $(find /path/to/storage/ -type f -regex [a-f0-9\-]*.*); do \ echo "Retrieving file [$file] info. If the output is not empty, that might indicate a compromised disk; check it carefully."; \ qemu-img info -U $file | grep file:; \ printf "\n\n"; \done```此命令将遍历指定路径下的所有文件，并使用`qemu-img info`命令获取每个文件的详细信息。通过检查输出内容，特别是是否包含对主机文件系统的引用，可以判断磁盘是否可能已遭破坏。