VENOM: vulnerabilidad crítica en entornos virtuales y de Cloud Computing

Al parecer hay una nueva vulnerabilidad catastrófica: VENOM (Virtualized Environment Neglected Operations Manipulation), fue descubierta recientemente en el software Open-Source QEMU, utilizado por decenas de fabricantes y empresas de Cloud Computing del mundo. Podría ser peor que HeartBleed.

La firma de seguridad Crowdstrike advirtió que esta vulnerabilidad Zero-Day, identificada como CVE-2015-3456, podría permitir a un atacante tomar control de un Data Center. La vulnerabilidad se encuentra en un controlador de disquete virtual (virtual FDC) que ha sido legado y ampliamente ignorado con el tiempo, basándose en el chipset de Intel 82078 [PDF].

La mayoría de centros de datos hoy en día concentran a sus clientes, incluyendo grandes compañías tecnológicas con pequeñas empresas, en centro de datos virtuales, con múltiples sistemas operativos en un solo servidor. Estos sistemas virtualizados están diseñadas para compartir recursos, pero permanecen como entidades separadas en el hipervisor anfitrión, que alimenta las máquinas virtuales. Un atacante podría explotar el fallo descubierto para acceder al hipervisor entero, así como todos los dispositivos conectados en la red del datacenter.

Si se envía un código especialmente diseñado, puede hacer fallar el hipervisor entero y puede permitir al atacante escapar de su propia máquina virtual y acceder a otras máquinas y a la propiedad de otras personas y empresas.

El bug encontrado en el emulador QEMU FDC se remonta a 2004 y muchas plataformas de virtualización modernos, incluyendo Xen Project, KVM de RedHat, VirtualBox de Oracle y Citrix incluyen el código vulnerable.

VMware, Bochs y Microsoft Hyper-V no se ven afectados.

"Millones de máquinas virtuales están usando una de estas plataformas vulnerables", dijo Jason Geffner, Senior Security Researcher de CrowdStrike, el investigador que encontró el bug. "El fallo puede ser una de las mayores vulnerabilidades encontradas este año".

CrowdStrike advirtió y notificó a estas empresas y en algunos casos ya se encuentra disponible la actualización:

• QEMU: http://git.qemu.org/?p=qemu.git;a=commitdiff;h=e907746266721f305d67bc0718795fedee2e824c
• Xen Project: http://xenbits.xen.org/xsa/advisory-133.html
• Red Hat: https://access.redhat.com/articles/1444903
• Citrix: http://support.citrix.com/article/CTX201078
• FireEye: https://www.fireeye.com/content/dam/fireeye-www/support/pdfs/fireeye-venom-vulnerability.pdf
• Linode: https://blog.linode.com/2015/05/13/venom-cve-2015-3456-vulnerability-and-linode/
• Rackspace: https://community.rackspace.com/general/f/53/t/5187
• Ubuntu: http://www.ubuntu.com/usn/usn-2608-1/
• Debian: https://security-tracker.debian.org/tracker/CVE-2015-3456
• Suse: https://www.suse.com/support/kb/doc.php?id=7016497
• DigitalOcean: https://www.digitalocean.com/company/blog/update-on-CVE-2015-3456/
• f5: https://support.f5.com/kb/en-us/solutions/public/16000/600/sol16620.html
• Joyent: https://help.joyent.com/entries/68099220-Security-Advisory-on-Venom-CVE-2015-3456-in-KVM-QEMU
• Liquid Web: http://www.liquidweb.com/kb/information-on-cve-2015-3456-qemu-vulnerability-venom/
• UpCloud: http://status.upcloud.com/incidents/tt05z2340wws
• Amazon: http://aws.amazon.com/security/security-bulletins/XSA_Security_Advisory_CVE_2015_3456/

Sin embargo, muchas compañías ofrecen su propio hardware y software y si no aplican los parches, miles de clientes se verán afectados ocasionando cientos de brechas y fugas de datos.

Cómo se explotaría

Para aprovechar las ventajas de la falla, un atacante tendría que tener acceso a una máquina virtual con privilegios altos en el sistema. Por ejemplo, llevaría poco esfuerzo alquilar una máquina virtual desde un servicio para luego, desde allí, explotar el hipervisor y tomar control del centro de datos. "Lo que un adversario hace desde esa posición depende del diseño de la red" dijo Geffner, indicando que "sería posible tomar el control del datacenter".

Hasta el momento no hay ningún código conocido o público que permita lanzar el ataque pero Geffner dice que la vulnerabilidad puede ser explotada con relativa facilidad aunque "no es trivial". Sin embargo ha tomado cerca de dos semanas a las empresas para comenzar a remediar los sistemas afectados.

Rackspace por ejemplo dijo en un comunicado que una porción de su centro de datos era vulnerable y que sus sistemas ya fueron parcheados. Oracle, que desarrolla VirtualBox, dijo que la empresa era "consciente" del problema y que pronto lanzará una actualización de mantenimiento (VirtualBox 4.3). Amazon dijo que sus servicios AWS no son vulnerables. Oracle no se ha manifestado.

Cómo se soluciona

Los administradores de sistemas que ejecuten QEMU, Xen o KVM deben revisar y aplicar los parches más recientes desarrollados por su proveedor.

Si se dispone de dispositivos con los hipervisores afectados o se tiene un proveedor de servicios que los utilice, se debe contactar al mismo y verificar que su personal haya aplicado los últimos parches.

Fuente: ZDNET

Suscríbete a nuestro Boletín