Vo viacerých virtualizačných riešeniach sa nachádza vážna bezpečnostná zraniteľnosť, ktorá umožňuje z virtuálneho stroja získať plný prístup k hostiteľskému počítaču a tým aj k ostatným virtuálnym strojom bežiacim na rovnakom hardvéri.
Zraniteľnosť Venom
Chyba CVE-2015-3456 nesie označenie Venom, Virtualized Environment Neglected Operations Manipulation, a objavila ju bezpečnostná spoločnosť CrowdStrike.
Chyba sa nachádza v kóde virtuálnej disketovej mechaniky v QEMU a je typu pretečenia buffera. Útočník s možnosťou spúšťať na virtualizovanom stroji kód s root respektíve administrátorskými oprávneniami môže na mechaniku posielať špecifické príkazy, ktoré spôsobia pretečenie buffera a spustenie útočníkom zvoleného kódu v rámci virtualizačného hypervízora na hostiteľskom počítači.
Kód je použitý minimálne vo virtualizačných riešeniach Xen, KVM a QEMU, pričom objavitelia nevylučujú zraniteľnosť ani ďalších virtualizačných riešení. Naopak VMware, Microsoft Hyper-V a Bochs zraniteľné nie sú.
CrowdStrike pre Venom vytvorila aj logo (obrázok: CrowdStrike)
Zraniteľnosť sa dá zneužiť z ľubovoľného operačného systému bežiaceho na virtualizovanom stroji.
Scenáre zneužitia
Existuje viacero scenárov ako môže byť zraniteľnosť Venom v praxi zneužitá. Prirodzeným terčom sú cloudové služby ponúkajúce virtualizované privátne servery, v ktorých si útočník môže objednať jeden server a získa tým prístup ku všetkým ostatným VM iných užívateľov na rovnakom fyzickom serveri.
VM sa zvyknú používať tiež na izoláciu rozličných serverových služieb respektíve oddelenie privátnych a verejných služieb. Útočník môže získať napríklad prístup k VM s verejným webovým serverom zneužitím niektorých chýb vo webových aplikáciách a pomocou neho získať prístup k VM s citlivejšími dátami.
Venom bola prítomná v kóde QEMU už od roku 2004, CrowdStrike zatiaľ nezaznamenala zneužívanie tejto chyby.
K dispozícii zároveň nie je verejne dostupný exploit kód, viacerí experti ale očakávajú vzhľadom na predpokladané ľahké zneužitie chyby jeho objavenie sa v priebehu dnešného dňa.
Riešenie
Zároveň so zverejnením informácií o chybe boli dostupné aktualizácie od Xenu, QEMU, Red Hatu aj ďalších riešení, odkazy na ne je možné nájsť okrem iného v oznámení CrowdStrike.
Či prevádzkovatelia najväčších cloudových služieb poskytujúcich virtuálne servery už aktualizovali svoje servery respektíve kedy ich budú rebootovať zatiaľ nie je jasné.
Hoci virtuálna disketová mechanika nie je dnes už zrejme väčšinou využívaná, v prípade Xenu a QEMU nepomôže ani jej zakázanie. Iná chyba spôsobuje, že zraniteľnosť Venom je stále možné zneužiť aj v takomto prípade a aktualizácia je tak potrebná.
| |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
lxc kokoti
Od: zlobik ten stredny
|
Pridané:
14.5.2015 9:16
install LXC
|
| |
Re: lxc kokoti
Od: amolo
|
Pridané:
14.5.2015 10:57
Je fajn, ze moj cloud provider o chybe informoval skor ako dsl.sk a islo len o informacny mail, ze o chybe vedia vyriesia ju a bude to bez vypadku sluzieb. Rychla a profesionalna reakcia, tak ako aj v pripade predchadzajucich objavenych chyb a problemov. Oproti tomu slovenske lama firmicky so svojim "ospravedlnujeme sa za vypadok, netusime co sa stalo" ani nechapu podstatu kvalitnej sluzby.
|
| |
Re: lxc kokoti
Od: u koho
|
Pridané:
14.5.2015 11:00
u koho mas hosting?
|
| |
Re: lxc kokoti
Od: 234242
|
Pridané:
14.5.2015 12:55
urcite od rakusakov kedze u nich je vsetko lepsie
|
| |
Re: lxc kokoti
Od: slecna.l
|
Pridané:
14.5.2015 13:43
Veru, kava, kola, jogurty, pracie prasky a Ikea.
|
| |
Re: lxc kokoti
Od: ejha
|
Pridané:
14.5.2015 15:50
Nutelu si zabudol... tá je navyše zväčša aj o hodne lacnejšia.
|
| |
Re: lxc kokoti
Od: asdsfsdfsd
|
Pridané:
14.5.2015 12:58
LXC je v podstate lepsi chroot. Rovnako umoznuje unik z virtualnych strojov, akurat to vyvojari nestihaju opravovat :-/.
|
| |
.....
Od: Ja.
|
Pridané:
14.5.2015 9:16
piči
|
| |
Re: .....
Od: Jozzzzko
|
Pridané:
14.5.2015 9:25
a to si si myslel, ze dnes nemas nic na praci :D
|
| |
Re: .....
Od: lokomotion
|
Pridané:
14.5.2015 14:23
hahaha :D
|
| |
.....
Od: čorv
|
Pridané:
14.5.2015 9:34
diskety sú zlo
|
| |
Re: .....
Od reg.: l1@p5
|
Pridané:
14.5.2015 9:37
Vraj nejde driver vypnut, lebo windows nenabootuje. Tak to je sila :D
|
| |
Re: .....
Od: hehehe
|
Pridané:
14.5.2015 9:47
Driver ide vypnúť. Mám v PC disketovú mechaniku a Windows 7 - disketovú mechaniku mám zakázanú v Device Manageri ešte z čias, keď som mal XP.
|
| |
Re: .....
Od reg.: l1@p5
|
Pridané:
14.5.2015 10:04
aha, zle som to precital, nie nabootovat, ale viz citacia:
Why indeed. In fact we tried to remove the FDC, but Windows needs it in order to do certain operations like installing some drivers, so there was resistance there. (
https://news.ycombinator.com/item?id=9538437
|
| |
Re: .....
Od: Boh1
|
Pridané:
14.5.2015 12:19
Diskety sú smŕť...
|
| |
Re: .....
Od: ejha
|
Pridané:
14.5.2015 15:53
Nikdy som tú mechaniku nemal rád. A 5¼ obzvášť.
|
| |
itchaos
Od: neverec
|
Pridané:
14.5.2015 9:43
Je tu niekto, čo si myslí, že o tom od roku 2004 nikto nevedel? Že je to chyba a nie zámer?
|
| |
Re: itchaos
Od: jsmp
|
Pridané:
14.5.2015 9:50
Jastery z pekiel utocia :/
|
| |
Re: itchaos
Od: quix_
|
Pridané:
14.5.2015 10:07
na tieto konspiracie je vraj nejaka zazracna sol. objednaj si za vyhodnu cenu. pytaj u svojho miestneho konspiratora
|
| |
Re: itchaos
Od: smejkololo
|
Pridané:
15.5.2015 10:57
Sorry, ale nie je tych bugov v opensource systemoch uz trosku moc? Nepoviem, ked sa jedna o mesiac stary bug, ale 10 rokov? Este niekto zadre, ze vyhoda opensource je ta, ze druhi vidia do kodu a mozu ho opravit, nech si rovno jebne facku. Pretoze fakt, ze druhi vidia do kodu a mozu ho zneuzit daleko vyhrava nad prvou uvahou.
|
| |
matrix
Od: mar5
|
Pridané:
14.5.2015 11:25
sposob ako sa odpojit od matrixu ? :-)
|
| |
Re: matrix
Od: Morpheus_Matrix
|
Pridané:
14.5.2015 12:56
Posielam červenu tabletku.
|
| |
/dev/fda
Od: vlaky
|
Pridané:
14.5.2015 11:49
v prípade Xenu a QEMU nepomôže ani jej zakázanie
a to uz ako? Ked qemu hostovanemu systemu neemuluje flopac, tak kam chce utocnik posielat prikazy, ak nebude mat /dev/fda? Azda staci rucne vytvorit node? Nechce sa mi verit.
|
| |
Re: /dev/fda
Od: Morpheus_Matrix
|
Pridané:
14.5.2015 12:58
Hoci virtuálna disketová mechanika nie je dnes už zrejme väčšinou využívaná, v prípade Xenu a QEMU nepomôže ani jej zakázanie. <b>Iná chyba spôsobuje, že zraniteľnosť Venom je stále možné zneužiť aj v takomto prípade a aktualizácia je tak potrebná.</b>
|
| |
Re: /dev/fda
Od: vlaky
|
Pridané:
15.5.2015 7:18
Dementi, dakujem za vysvetlenie, aj minusky. Citat viem aj sam. Ste ako statny urad, alebo sud, ked po nich chce clovek nejaky vyklad, tak odcituju zakon, ktory poznas predtym, nez sa ich nieco opytas.
|
| |
Re: /dev/fda
Od: Hadimrska
|
Pridané:
15.5.2015 9:51
Mas pravdu. DSL je smrt, hlavne niektori miestni diskuteri. Na DSL chodia najvacsi slovenski IT gurus, ktori vsetko vedia este skor, nez si to precitaju. Takze vacsinou to ani necitaju, ale idu rovno do diskusie rozdavat mudro.
|
| |
Re: /dev/fda
Od: vlaky
|
Pridané:
15.5.2015 10:15
raz som tiez nejako nechapal minusky, tak som sa opytal pokojne, ze chcem pochopit mentalitu a co som povedal zle. Dostal som odpoved ze lebo som ch**. To bolo najvystiznejsie vysvetlenie tunajsej mentality, hned som pochopil :)
|
neprihlásený 
