Szerző: Gálffy Csaba

2015. May 13. 17:37:00

VENOM: kitörhetnek a virtuális gépből

Beköszöntött a márkázott sérülékenységek kora, újra tanulhatunk egy nevet. A VENOM a virtualizált floppy-vezérlőben található hibát jelenti, amelyek keresztül a támadó kitörhet a virtuális gépből és a gazda rendszeren futtathat tetszőleges kódot. Hyper-V, VMware nem érintett, a QEMU-alapú szabad szoftveres megoldások igen.

A teljes adatközpontot kiszolgáltathatja egy új sérülékenység - jelentette be a CrowdStrike, a hibát feltáró, IT-biztonsággal foglakozó csapat. A VENOM névre keresztelt új biztonsági hiba lehetővé teszi, hogy egy támadó kitörjön a virtuális gépből és tetszőleges kódot futtasson a gazda operációs rendszeren - ez egyértelműen a virtualizációt támadók Szent Grálja. A hiba egyébként az érintett hypervisorokban 2004 óta megtalálható.

Hasonló, a virtuális gépből való kitörést lehetővé tévő hibákat korábban is találtak szakemberek, ezek azonban jellemzően csak egyedi esetekben, szokatlan beállítások együttállása esetén szolgáltatták ki a gazdarendszert. A VENOM annyiban más, hogy sok, igen elterjedt platformban megtalálható, működik alapértelmezett beállítások mellett és a gazda rendszeren teszi elérhetővé tetszőleges kód futtatását. Ez az együttállás teszi különösen veszélyessé a sérülékenységet, amit súlyosbít, hogy Xen és QEMU környezetben hiába tiltja le a rendszergazda expliciten a virtuális gép adott funkcióját, egy másik hiba miatt a kód aktív és kihasználható marad. A problémát csak az mérsékli, hogy a támadónak a vendég operációs rendszeren root jogosultsággal kell rendelkeznie a VENOM kihasználásához.

A hibáról részletesebben

A Crowdstrike szerint a CVE-2015-3456 alatt regisztrált VENOM a szabad szoftveres hypervisorok egyik részében, a virtuális floppy-vezérlő kódjában található meg. A virtuális FDC-hez a vendég operációs rendszerek a standard, floppy-hoz kötődő parancsokon keresztül férnek hozzá (seek, read, write, format, stb.), az FDC a beérkező parancsokat és a kapcsolódó adatot fix hosszúságú pufferben tárolja, a várt mennyiségű adat megérkezése után pedig végrehajtja a parancsot és törli a puffert. A hiba a puffer alaphelyzetbe állításában van, két parancs esetében ugyanis ez nem történik meg, ez pedig lehetővé teszi a támadó számára, hogy túlcsordulást idézzen itt elő és tetszőleges kódot hajtson végre a gazda operációs rendszeren, a hypervisor jogosultságával.

Machine learning és Scrum alapozó képzések indulnak! (x) A HWSW októberben induló gyakorlatorientált, 10 alkalmas, 30 órás online képzéseire most early bird kedvezménnyel lehet regisztrálni!

A hiba azokat a hypervisorokat érinti, amelyek a QEMU-féle virtuális FDC-implementációt használják. A körbe beletartozik a Xen, a KVM és a QEMU virtualizációs platformja is, a VMware termékei, a Microsoft Hyper-V azonban nem. Fontos megjegyezni, hogy a sebezhetőség kihasználása teljesen független mind a vendég, mint a gazda operációs rendszertől, mivel maga a hiba a hypervisor rétegben található. A szakemberek azt is megjegyzik, hogy a hiba nem minden hypervisorban jön elő, így az x86-os környezetben paravirtualizált Xen, vagy az ARM-os implementációk nem sebezhetőek. Ahogy korábban említettük, a VENOM ellen nem véd a kérdéses képesség letiltása, a sebezhető kód bizony ennek ellenére aktív és sérülékeny marad. A megoldást jelenleg csak a foltozás, a kiadott biztonsági patch telepítése jelent - ennek telepítése sürgősen ajánlott minden, a fenti megoldásokat használó rendszeren.

A VENOM másodlagos vonzata várhatóan az lesz, hogy a sebezhető technológiára épülő publikus felhők a következő napokban hullámokban újraindulnak, ahogy az üzemeltetők telepítik a megfelelő frissítéseket. Az Amazon, amely Xen-alapú virtualizációt használ, néhány órája hivatalosan is megerősítette, hogy a sebezhetőségnek tudtában van, a cég szerint az instance-ek és a tárolt adatok is teljes biztonságban vannak, az előfizetőknek tennivalója nincs.

A Crowdstrike által létrehozott VENOM-aloldal itt érhető el, a Xen.org hivatalos hibabejelentő figyelmeztetése pedig itt olvasható.

a címlapról