VENOM - Virtualized Environment Neglected Operations Manipulation

Foto:

VENOM, CVE-2015-3456, este o vulnerabilitate descoperită de Jason Geffner, Senior Security Researcher laCrowdStrike. Această vulnerabilitate a codului unității floppy virtuale folosită în multe platforme de virtualizare poate permite unui atacator să obțină acces la sistemul gazdă (chiar drepturi de execuție cod). Atacatorul poate căpăta acces la întreg sistemul gazdă, inclusiv la alte mașini virtuale (VM - Virtual Machine) găzduite de acesta, rețeaua la care este conectat sau alte sisteme adiacente. VENOM poate expune proprietatea intelectuală (IP - Intellectual Property), date personale sensibile  (PII - Personally Identifiable Information), resurse de calcul, conectivitate, securitate și stocare partajate de VM-uri.

Vulnerabilitatea publicată pe data de 13 Mai 2015, afectează soluții de tip hypervisor open-source precum QEMU, Xen, KVM, VirtualBox și derivații ale acestora. Aceasta a fost introdusă pentru prima dată în 2004 de către QEMU, în emulatorul open-source oferit de aceștia.

Impactul este major deoarece milioane de VM-uri folosesc astfel de platforme vulnerabile.  Deși  furnizori de infrastructuri par a fi  principala țintă a unui astfel de atac, numeroase alte tehnologii depind de virtualizare. Putem menționa aplicațiile de securitate ce detonează intenționat malware cu privilegii administrative, permițănd astfel unui adversar, ce utilizează vulnerabilitatea VENOM, să ocolească măsurile de securitate și să execute cod malițions. Alte posibile ținte ale atacatorilor pot fi Centrele de date sau furnizori de servicii de Cloud.

MĂSURI DE SOLUȚIONARE

Utilizatorii ce folosesc soluțiile de virtualizare menționate ar trebui să verifice dacă unitatea floppy virtuală este dezactivată (aceasta fiind starea implicită în cele mai multe cazuri). CrowdStrike a colaborat, până la publicarea acestei vulnerabilități, cu furnizori majori de infrastructuri și producătorii de soluții hypervisor pentru dezvoltarea de patch-uri adresate acestei probleme. Printre colaboratori se numără nume mari de pe piața soluților hypervisor precum QEMU, Xen și VirtualBox (Oracle), dar și producătorii de sisteme de operare ce includ KVM-ul.

Până în prezent, nu au fost observate atacuri ce folosesc această vulnerabilitate.

Detalile tehnice ale vulnerabilității VENOM nu au fost publicate deoarece există în continuare furnizori de soluții de virtualizare ce rămân vulnerabili în fața acestui atac.

REFERINȚE

[1] http://venom.crowdstrike.com/

[2] http://blog.crowdstrike.com/venom-vulnerability-community-patching-and-mitigation-update/

[3] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3456