14. 5. 2015

Bezpečnostní výzkumník Jason Geffner ze společnosti CrowdStrike, objevil zranitelnost při procházení zabezpečení hypervizorů virtuálních strojů.

Charakteristika zranitelnosti

Zranitelnost je unikátní v tom, že postihuje širokou škálu virtualizačních platforem a umožňuje přímé spuštění kódu i v jejich výchozí konfiguraci. Chyba se nachází v kontroléru virtuální disketové mechaniky QEMU (FDC), kterou využívá většina platforem, pokud není administrátorem výslovně zakázána. Hostující operační systém komunikuje s FDC zasíláním příkazů (seek, read, write, format, atd.) na vstupní/výstupní port. Pro ukládání těchto příkazů se využívá vyrovnávací paměť o pevné velikosti, která se obvykle po provedení příkazu vymaže, s výjimkou dvou speciálních příkazů. Útočník může poslat tyto příkazy se speciálně upravenými parametry pro FDC, čímž způsobí přetečení vyrovnávací paměti a může pak spustit libovolný kód. Pro zneužití zranitelnosti VENOM však musí mít útočník (nebo jeho malware) ve virtuálním stroji administrátorská, resp. rootovská oprávnění.

Postižené systémy

QEMU, Xen, Red Hat, Citrix, FireEye, Linode, Rackspace, Ubuntu, Debian, Suse, DigitalOcean, f5

Hypervizory VMware, Microsoft Hyper-V a Bochs nejsou zranitelností dotčeny.

Dopad zranitelnosti

Tato chyba může umožnit útočníkovi proniknout za hranice virtuálního zařízení, a potenciálně získat možnost spuštění libovolného kódu na reálném hostitelském systému, nebo proniknout do všech dalších virtuálních počítačů, které na něm běží. Existuje i riziko, že by mohl získat přístup do lokální sítě a přilehlých systémů hostitele. V ohrožení tak mohou být všechny důležité firemní, osobní a citlivé informace, které by se na hostitelském stroji nacházely.

Řešení

Doporučujeme aplikovat nejnovější patche od jednotlivých dodavatelů, které byly vyvinuty k řešení této chyby.

CVE

CVE-2015-3456

Odkazy

http://venom.crowdstrike.com/
http://www.zdnet.com/article/venom-security-flaw-millions-of-virtual-machines-datacenters/
https://fortune.com/2015/05/13/venom-vulnerability/