La empresa de seguridad CrowdStrike ha revelado la existencia de una vulnerabilidad grave que afecta a varias plataformas de virtualización populares.
Apodado "Virtualized Environment Neglected Operations Manipulation", o VENOM, el error de seguridad reside en el controlador virtual de disquete (FDC) de QEMU, el genérico, emulador de máquina de código abierto y virtualizador.
Según CrowdStrike, un atacante puede explotar la vulnerabilidad (CVE-2015 hasta 3456) para escapar de una máquina virtual (VM) y ejecutar código arbitrario en el host. Actores malintencionados pueden aprovechar VENOM para acceder a todas las máquinas virtuales que se ejecutan en el host de destino.
"El sistema operativo invitado (virtualizado) se comunica con el FDC (Unidad de Diskette) enviando comandos como buscar, leer, escribir, formato, etc. al puerto de entrada/salida del FDC. Por su parte el FDC virtual de QEMU utiliza un búfer de tamaño fijo para el almacenamiento de estos comandos y sus parámetros de datos asociados. El FDC mantiene un registro de la cantidad de datos que puede esperar de cada comando y, después de todos los datos esperados para una orden dada se recibe desde el sistema invitado, el FDC ejecuta el comando y limpia el búfer para el siguiente comando ", explicó CrowdStrike.
"Este restablecimiento se realiza inmediatamente a la terminación de procesamiento para todos los comandos de FDC, a excepción de dos de los comandos definidos. Un atacante puede enviar estos comandos y datos de parámetros especialmente diseñados desde el sistema invitado a la FDC para que se desborde el búfer de datos y ejecutar código arbitrario en el contexto del proceso de hipervisor del huésped ", agregó la compañía.
A pesar de que la mayoría de las organizaciones ya no utilizan las unidades de disquete, una unidad de disco virtual se crea de forma predeterminada en las nuevas máquinas virtuales. En el caso de QEMU y Xen, incluso si la unidad virtual está desactivada, la falla VENOM puede todavía ser explotada porque un error diferente hace que el código vulnerable permanezca activo, según los expertos.
CrowdStrike señaló que no ha visto ninguna evidencia de que la vulnerabilidad ha sido explotada en internet. La compañía también señaló que un atacante necesita privilegios de administrador o root en el sistema operativo invitado con el fin de explotar el bug. Sin embargo, la empresa de seguridad cree VENOM es peligroso porque afecta a varias plataformas de virtualización, que funciona en las configuraciones por defecto, y permite la ejecución directa de código arbitrario.
El Proyecto de QEMU y el Proyecto Xen han lanzado parches para tratar el tema. Xen señaló en su asesor que los sistemas que ejecutan únicos huéspedes x86 virtualizados y sistemas ARM no son vulnerables. Red Hat lanzó parches hoy para resolver la vulnerabilidad, y Amazon ha informado a sus clientes de AWS que sus datos e instancias no están en riesgo.
De acuerdo con un documento de apoyo Publicado por FireEye el miércoles hipervisor de FireEye aprovecha el componente de código abierto afectados por venom y la compañía ha lanzado parches para todos sus principales productos. "FireEye insta a sus clientes a mejorar sus aparatos afectados tan pronto como sea posible para asegurar la fidelidad de sus productos FireEye y protección continua de su organización", dijo la compañía.
Según el jefe científico de White Ops, Dan Kaminsky, quien trabajó con CrowdStrike en una solución para VENOM, dichas vulnerabilidades pueden ser peligrosas porque todo se está moviendo a la nube.
"Hay un costo para este movimiento, que es que los atacantes que una vez que necesitan para encontrar un exploit puede conseguir algún grado de privilegio local utilizando dinero", dijo Kaminsky SecurityWeek por correo electrónico. "Hay mucho en juego en el código que aísla VM, pero al igual que todo el código, hay un riesgo de errores. Muchos proveedores de nube ofrecen un mayor aislamiento de hardware, de tal manera que, como mínimo, sólo está expuesto a otra VM desde su propia organización.".
"Las personas más afectadas por VENOM son los que corren a través de servicios VPS (y por lo tanto, rutinariamente dar acceso root para equipos invitados de extraños), y aquellos que se suscriben a los mismos servicios de VPS. Los clientes de los servicios de VPS deberían exigir a sus proveedores hasta que se apliquen los parches, y los vendedores deben moverse rápidamente "Tod Beardsley, Gerente de Investigación de Rapid7, dijeron a SecurityWeek.
"Es importante señalar que, si bien esta vulnerabilidad es técnicamente sólo local, la explotación exitosa conduce a la ruptura de un sistema operativo invitado hacia el sistema operativo anfitrión," añadió Beardsley. "Esta circunstancia me lleva a creer que Venom es un "bug interesante para la clase de gente que se gana la vida investigando exploits. Poder salir de un sistema operativo invitado a un sistema operativo anfitrión es una habilidad rara y de gran alcance, y tales errores son infrecuentes. Dado este incentivo de interés, esperaría a ver una demostración pública del concepto siendo explotada muy pronto".
 |
| Imagen: ThreatPost |
Según CrowdStrike, un atacante puede explotar la vulnerabilidad (CVE-2015 hasta 3456) para escapar de una máquina virtual (VM) y ejecutar código arbitrario en el host. Actores malintencionados pueden aprovechar VENOM para acceder a todas las máquinas virtuales que se ejecutan en el host de destino.
"La explotación de la vulnerabilidad VENOM puede exponer el acceso a la propiedad intelectual de las empresas (IP), además de información sensible y de identificación personal (PII), lo que podría afectar a miles de organizaciones y millones de usuarios finales que dependen de VM afectada por la asignación compartida de recursos informáticos, así como la conectividad, almacenamiento, seguridad y privacidad ", CrowdStrike escribió en un sitio web creado especialmente para VENOM.La vulnerabilidad, que ha existido desde 2004, cuando el FDC virtual fue añadido primero a la base de código de QEMU, impactos hipervisores como Xen, KVM (Máquina Virtual basada en el Kernel), y el cliente nativo de QEMU, dijeron CrowdStrike. Sin embargo, la empresa de seguridad señaló que VENENO no afecta VMware, Microsoft Hyper-V y hipervisores Bochs. El código de QEMU responsable de emular el FDC es vulnerable a ataques de desbordamiento de búfer, ya que no lo hace correctamente limita comprobación accede a una matriz.
"El sistema operativo invitado (virtualizado) se comunica con el FDC (Unidad de Diskette) enviando comandos como buscar, leer, escribir, formato, etc. al puerto de entrada/salida del FDC. Por su parte el FDC virtual de QEMU utiliza un búfer de tamaño fijo para el almacenamiento de estos comandos y sus parámetros de datos asociados. El FDC mantiene un registro de la cantidad de datos que puede esperar de cada comando y, después de todos los datos esperados para una orden dada se recibe desde el sistema invitado, el FDC ejecuta el comando y limpia el búfer para el siguiente comando ", explicó CrowdStrike.
"Este restablecimiento se realiza inmediatamente a la terminación de procesamiento para todos los comandos de FDC, a excepción de dos de los comandos definidos. Un atacante puede enviar estos comandos y datos de parámetros especialmente diseñados desde el sistema invitado a la FDC para que se desborde el búfer de datos y ejecutar código arbitrario en el contexto del proceso de hipervisor del huésped ", agregó la compañía.
A pesar de que la mayoría de las organizaciones ya no utilizan las unidades de disquete, una unidad de disco virtual se crea de forma predeterminada en las nuevas máquinas virtuales. En el caso de QEMU y Xen, incluso si la unidad virtual está desactivada, la falla VENOM puede todavía ser explotada porque un error diferente hace que el código vulnerable permanezca activo, según los expertos.
CrowdStrike señaló que no ha visto ninguna evidencia de que la vulnerabilidad ha sido explotada en internet. La compañía también señaló que un atacante necesita privilegios de administrador o root en el sistema operativo invitado con el fin de explotar el bug. Sin embargo, la empresa de seguridad cree VENOM es peligroso porque afecta a varias plataformas de virtualización, que funciona en las configuraciones por defecto, y permite la ejecución directa de código arbitrario.
El Proyecto de QEMU y el Proyecto Xen han lanzado parches para tratar el tema. Xen señaló en su asesor que los sistemas que ejecutan únicos huéspedes x86 virtualizados y sistemas ARM no son vulnerables. Red Hat lanzó parches hoy para resolver la vulnerabilidad, y Amazon ha informado a sus clientes de AWS que sus datos e instancias no están en riesgo.
De acuerdo con un documento de apoyo Publicado por FireEye el miércoles hipervisor de FireEye aprovecha el componente de código abierto afectados por venom y la compañía ha lanzado parches para todos sus principales productos. "FireEye insta a sus clientes a mejorar sus aparatos afectados tan pronto como sea posible para asegurar la fidelidad de sus productos FireEye y protección continua de su organización", dijo la compañía.
Según el jefe científico de White Ops, Dan Kaminsky, quien trabajó con CrowdStrike en una solución para VENOM, dichas vulnerabilidades pueden ser peligrosas porque todo se está moviendo a la nube.
"Hay un costo para este movimiento, que es que los atacantes que una vez que necesitan para encontrar un exploit puede conseguir algún grado de privilegio local utilizando dinero", dijo Kaminsky SecurityWeek por correo electrónico. "Hay mucho en juego en el código que aísla VM, pero al igual que todo el código, hay un riesgo de errores. Muchos proveedores de nube ofrecen un mayor aislamiento de hardware, de tal manera que, como mínimo, sólo está expuesto a otra VM desde su propia organización.".
"Las personas más afectadas por VENOM son los que corren a través de servicios VPS (y por lo tanto, rutinariamente dar acceso root para equipos invitados de extraños), y aquellos que se suscriben a los mismos servicios de VPS. Los clientes de los servicios de VPS deberían exigir a sus proveedores hasta que se apliquen los parches, y los vendedores deben moverse rápidamente "Tod Beardsley, Gerente de Investigación de Rapid7, dijeron a SecurityWeek.
"Es importante señalar que, si bien esta vulnerabilidad es técnicamente sólo local, la explotación exitosa conduce a la ruptura de un sistema operativo invitado hacia el sistema operativo anfitrión," añadió Beardsley. "Esta circunstancia me lleva a creer que Venom es un "bug interesante para la clase de gente que se gana la vida investigando exploits. Poder salir de un sistema operativo invitado a un sistema operativo anfitrión es una habilidad rara y de gran alcance, y tales errores son infrecuentes. Dado este incentivo de interés, esperaría a ver una demostración pública del concepto siendo explotada muy pronto".
