jueves, mayo 14, 2015

VENOM: Un bug en entornos virtuales para llegar al host

El nuevo nombre molón para un bug es VENOM, acrónimo que viene de Virtual Environment Neglected Operations Manipulation que me ha sonado a como nosotros construimos FOCA, que venía de Fingerprinting Organizations with Collected Archives. En este caso, el bug está en el software de gestión de los floppy disks (sí, de disquetes) que utilizan los principales hypervisores de máquinas virtuales.

Figura 1: Venom vulnerability

El bug en sí es muy peligroso en su concepto, ya que permite que el dueño de una máquina virtual pase a poder ejecutar código en la máquina host anfitriona y de ahí pasar, por ejemplo a otras partes de la red. El gráfico que se publica en la página web que se ha creado para recoger la información de VENOM lo explica muy bien.

Figura 2: Riesgo de explotación de VENOM en una organización vulnerable

El software afectado por esta vulnerabilidad, que se le ha dado el CVE-2015-3456 es el Virtual Floppy Disk Controller (FDC) de QEMU, que está presente en las plataformas de XEN Project, en KVM de RedHat y en el software de Citrix. Hay que recalcar que ni VMWare ni Microsoft Hyper-V se ven afectados por este fallo.

Amazon Web Services y VENOM

Existen muchas plataformas de nube pública y nube privada que se ven afectadas por este bug, e incluso Amazon ha tenido que explicar las medidas para su plataforma de cloud, pero por ahora no se ha filtrado el exploit y parece que nadie ha visto una explotación del vulnerabilidad en ningún sistema por ahora. Según un portavoz de Amazon:
"Customer security is our top priority, and AWS takes extraordinary 'defense in depth' measures in constructing systems that do not rely solely upon any single component, such as the hypervisor, to protect customers."
Para evitar que este tipo de bugs puedan afectar a redes virtuales en sistemas de misión crítica o de alta seguridad, existen soluciones de hardening de redes que virtualizan y cifran todos los contenedores, evitando que un fallo en uno de estos sistemas permita al escalada hacia hosts anfitriones u otras partes de la red, que probablemente sean las medidas de contención y defensa en profundidad que desde Amazon argumentan.

Saludos Malignos!

8 comentarios:

Anónimo dijo...

*virtuales* :-) ¡Eres una máquina de escribir, Chema!

Anónimo dijo...

Con lo que se usan las máquinas virtuales para estudiar el funcionamiento de "bichos"... grima me da pensar que se pueda escapar alguno de la máquina virtual y liarte una buena en la máquina de verdad y en el resto de la red...

Y si nos ponemos a pensar en los proveedores de servidores virtuales, la que se ha podido liar es de órdago...

Anónimo dijo...

"Desde Amazon argumentan", seguimos para bingo.

Maligno dijo...

@anonimo, los pongo especialmente para ti desde mi corazón. Saludos!

Felipe Gordillo dijo...

Además, hay un problema con qemu que no desabilita correctamente el floppy:

"Note that Xen actually does attempt to disable the floppy disk for HVM domains by default, but due to a bug in qemu, the floppy disk only partially disabled; enough functionality to exploit this bug remains."

Anónimo dijo...

Y VirtualBox, ¿También está afectado?

Anónimo dijo...

Desde Eleven Paths se dan patadas al diccionario y la gramática.

Maligno dijo...

@anónimo, es un bonito recurso literario que cuando algo se emite de un punto a otro, disfruto visualizando como una flecha que va desde mi corazón hacia el lector. Saludos !

Entrada destacada

Joinnovation & KeepCoding Connect: 2 Eventos para DOERS en #Madrid

Ayer fue el día de ver los proyectos de EQUINOX , el hackathon de ElevenPaths donde durante 24 horas se lanzan proyectos que normalmente ...

Entradas populares