Se ha metido el Venom en las nubes?

venom-vulnerability-bug-cloudVenom (o el simbionte de vida extraterrestre Venom, traducido en España como Veneno) es un personaje ficticio del universo Marvel, creado por el historietista David Michelinie y el artista canadiense Todd McFarlane para la editorial norteamericana Marvel Comics. Es uno de los más despiadados y peligrosos del universo Marvel y uno de los principales enemigos de Spider-Man.

Esta semana nos hemos despertado con una vulnerabilidad denominada VENOM, que podría exponer a las máquinas virtuales a un acceso no autorizado y el consiguiente posible robo de datos. Ha sido descubierta por Jason Geffner, que trabaja como ingeniero senior de seguridad en la empresa CrowdStrike.

Una nueva vulnerabilidad conocida como VENOM se acaba de publicar, lo que podría permitir a un atacante escapar de una máquina virtual invitada (VM) y acceder al sistema host, junto con otras máquinas virtuales que se ejecutan en este sistema. VENOM podría permitir a un atacante robar datos confidenciales en cualquiera de las máquinas virtuales en el sistema y obtener acceso privilegiado a la red local del host y a sus sistemas.

El bug VENOM se presenta en el controlador de disquete virtual del hipervisor QEMU de código abierto, que se instala por defecto en una serie de infraestructuras de virtualización como Xen, el cliente QEMU y KVM. VENOM no afecta a VMware, Microsoft Hyper-V e hipervisores Bochs.

VENOM existe desde el año 2004, aunque parece que no ha sido explotado nunca, cosa que ponemos en cuarentena. Los desarrolladores de QEMU y otros proveedores afectados han creado y distribuido parches para este bug.

costume_Venom_Classic

¿Cómo funciona VENOM?
Los proveedores de servicios en la nube a menudo alojan las máquinas virtuales de sus clientes en el mismo hardware dentro de un centro de datos, a pesar de que mantienen cada VM aislada unas de otras para mantener su seguridad. Mientras que las empresas dependen de su proveedor de servicios cloud para evitar que otros clientes tengan acceso a otras máquinas virtuales, la vulnerabilidad VENOM podría permitir a un atacante saltarse estas protecciones y obtener acceso a recursos en otras máquinas virtuales.

Según el sitio web específicamente creado para dar a conocer esta vulnerabilidad, las VM pueden enviar comandos y parámetros al controlador de disquete de una plataforma de virtualización. Este controlador utiliza un buffer de tamaño fijo para almacenar dichos comandos y parámetros, y se supone que borra el búfer una vez que los procesa completamente. Sin embargo, se ha decubierto que el controlador no realizó este borrado en dos de los comandos definidos, y es aquí dónde se crea el bug VENOM.

Si un atacante quiere aprovechar la vulnerabilidad VENOM, podría realizar un ataque alquilando espacio en un proveedor de alojamiento en la nube, obtener una cuenta adecuada y luego acceder a este servicio a través de un cliente de VM. Entonces podría aprovechar esta vulnerabilidad mediante el envío de uno de los dos comandos conocidos, junto con parámetros especialmente diseñados para el controlador de disquete, provocando un desbordamiento de búfer. Si el exploit tiene éxito, los atacantes podrían hacer que el sistema ejecute código arbitrario. Esto permitiría al atacante realizar cualquier acción que desee, incluyendo el robo de datos o descargar y ejecutar otro código no sólo en su propia máquina virtual, sino en cualquier otra máquina virtual alojada en el mismo sistema.

El impacto potencial de VENOM
Mientras que los disquetes son una tecnología obsoleta, muchos productos de virtualización añaden por defecto una unidad de disquete virtual, dejando las plataformas abiertas a los errores que existen en el controlador de disquete. El bug está presente en Xen, QEMU, hipervisor de FireEye y KVM de forma predeterminada. Para VirtualBox de Oracle, el controlador de disquete es opcional, lo que significa que las instalaciones de VirtualBox de los clientes no son vulnerables a VENOM por defecto. VMware, Microsoft Hyper-V y Bochs no son vulnerables.

Existe un gran despliegue mediático que sugiere que VENOM es aún "más grande que Heartbleed," siendo altamente improbable. La vulnerabilidad Heartbleed afectaba la biblioteca OpenSSL, que es una de las implementaciones más utilizadas en los protocolos SSL y TLS. Heartbleed afectó a un gran número de sitios web, aplicaciones, servidores, redes privadas virtuales y dispositivos de red. En cambio, VENOM sólo afecta a los sistemas de virtualización que utilizan específicamente el controlador de disco virtual de QEMU y no afectan a algunas de las plataformas de VM más utilizadas.

¿Es tan malo VENOM como Heartbleed?

La respuesta depende. Si su sistema es vulnerable y tiene una gran cantidad de servicios críticos que se ejecutan en él con un montón de datos sensibles, un ataque podría ser devastador. Heartbleed es considerado un tema importante fundamentalmente porque los sistemas vulnerables están muy extendidos y son de uso común. VENOM es grave y podría permitir a un atacante hacer mucho más que Heartbleed, pero el número de sistemas vulnerables es mucho menor, por lo que es un problema menos grave en el ecosistema actual.

De acuerdo con investigaciones recientes, muchas empresas planean aumentar su gasto en la nube de manera significativa, lo que sugiere que la nube está de moda y el mercado confía en esta tecnología. Este tipo de problemas puede dar razones para hacer una pausa para la reflexión.

Mitigación
Afortunadamente, a día de hoy no hay informes de ningún ataque que explote activamente a VENOM. Además, QEMU y otros fabricantes tienen información del error antes de su divulgación y han lanzado parches para solucionar el problema.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Q
Responsive Menu Clicked Image