Wczoraj firma CrowdStrike ogłosiła wiadomość o odkryciu bardzo poważnego błędu w środowiskach wirtualizacyjnych. Błąd nazwano VENOM (virtualized environment neglected operations manipulation, ang. jad).
Jadowity błąd
VENOM dotyczy środowisk zwirtualizowanych Xen, KVM i QEMU i umożliwia „wyskoczenie” z maszyny wirtualnej i przejęcie kontroli nad sąsiadującymi środowiskami wirtualnymi działającymi w obszarze danego węzła.
Błąd znajduje się w wirtualnym kontrolerze stacji dyskietek, nie używanego urządzenia jednak wciąż znajdującego się w maszynach wirtualnych.
Od kiedy istnieje?
Podobno dziura typu buffer overflow istnieje od 2004 roku.
Ataki z wykorzystaniem podatności nie zostały odnotowane, choć nie jest wykluczone, że exploit na VENOM-a wkrótce się pokaże.
Co ważne do przeprowadzenia ataku, użytkownik w systemie maszyny atakowanej musi mieć uprawnienia roota (lub administratora).
Patche dostawców:
- QEMU: http://git.qemu.org/?p=qemu.git;a=commitdiff;h=e907746266721f305d67bc0718795fedee2e824c
- Xen Project: http://xenbits.xen.org/xsa/advisory-133.html
- Red Hat: https://access.redhat.com/articles/1444903
- Citrix: http://support.citrix.com/article/CTX201078
- FireEye: https://www.fireeye.com/content/dam/fireeye-www/support/pdfs/fireeye-venom-vulnerability.pdf
- Linode: https://blog.linode.com/2015/05/13/venom-cve-2015-3456-vulnerability-and-linode/
- Rackspace: https://community.rackspace.com/general/f/53/t/5187
- Ubuntu: http://www.ubuntu.com/usn/usn-2608-1/
- Debian: https://security-tracker.debian.org/tracker/CVE-2015-3456
- Suse: https://www.suse.com/support/kb/doc.php?id=7016497
- DigitalOcean: https://www.digitalocean.com/company/blog/update-on-CVE-2015-3456/
- f5: https://support.f5.com/kb/en-us/solutions/public/16000/600/sol16620.html
Źródło: http://venom.crowdstrike.com/
