Уязвимость Venom опаснее, чем Heartbleed

Эксперты безопасности считают, что уязвимости нулевого дня подвержены миллионы компьютеров в датацентрах по всему миру.

Heartbleed, подвинься! На подходе новая катастрофическая уязвимость.

Компания, занимающая безопасностью, предупреждает о том, что новый баг может позволить хакеру получить контроль над значительными ресурсами датацентров, причем сделано это будет «изнутри».

Уязвимость нулевого дня содержится в распространенном компоненте программного обеспечения для виртуализации, что в теории позволяет хакеру внедриться в любой компьютер сети датацентра.

Большинство датацентров сейчас «уплотняют» клиентов — включая большие технологические компании и небольшие фирмы — с помощью виртуальных серверов или нескольких ОС, установленных на одном и том же сервере. Эти виртуальные системы разделяют ресурсы, но с точки зрения гипервизора являются самостоятельными единицами. Хакеры могут использовать недавно найденную уязвимость VENOM (аббревиатура от «Virtualized Environment Neglected Operations Manipulation» — манипуляция с безнадзорными операциями виртуального окружения). Таким образом хакер получает доступ ко всему гипервизору, а значит к любому доступному по сети устройству датацентра.

Причиной является массово игнорируемый виртуальный контроллер флоппи дисковода. При получении определенного кода он валит весь супервизор. Это может позволить хакеру выбраться за пределы своей собственной виртуальной машины и получить доступ к другим.

Баг был найден в опенсорсном эмуляторе QEMU, уходит корнями в 2004 год. Многие современные платформы виртуализации (Xen, KVM, VirtualBox) содержат уязвимый код.

VMware, Microsoft Hyper-V, и Bochs уязвимости не подвержены.

«Миллионы виртуальных машин используют один из уязвимых компонентов», — заявил в телефонном разговоре во вторник 12 мая исследователь Джейсон Геффнер (Jason Geffner), который обнаружил эту ошибку.

Данная уязвимость может стать одной из самых опасных из найденных в этом году. Она была выявлена всего через год после пресловутого бага Heartbleed, который позволял злоумышленнику извлекать содержимое памяти серверов с уязвимыми версиями опенсорсного ПО OpenSSL.

Heartbleed позволяет заглянуть в окно дома и собрать данные на основе увиденного”, говорит Геффнер, проводя аналогию. «Venom позволяет злоумышленнику проникнуть в дом, но, что хуже, еще и в любой другой дом по соседству».

Геффнер сказал, что компания работала с производителями программного обеспечения для того, чтоб закрыть патчем баг до того, как он стал широко известен в среду. Из-за того, что многие компании предлагают свое собственное программное и аппаратное обеспечение, заплатки могут быть активированы для тысяч затронутых клиентов без какого-либо простоя.

Теперь, по его словам, большое беспокойство вызывают компании, чьи системы не могут быть пропатчены автоматически.

Для эксплуатации уязвимости хакер должен получить доступ к виртуальной машине с высокими привелегиями или привелегиями root. Геффнер предупреждает, что нужно совсем немного усилий, чтобы арендовать компьютер в облачном сервисе и начать эксплутировать уязвимость для получения контроля над гипервизором.

«Далее действия хакера будут зависеть от сетевой инфраструктуры», говорит Геффнер, отмечая, что захват ресурсов датацентра возможен.

Ден Камински (Dan Kaminsky) — опытный эксперт безопасности и исследователь — в электронном письме пояснил, что баг оставался незамеченным более 10 лет из-за того, что никто не копался в старинной системе дисковода, которая тем не менее включена почти во все платформы виртуализации.

«Это действительно серьезный баг и владельцы облачных сервисов должны озаботиться его нейтрализацией», написал Камински. «Это не такая уж проблема для крупных провайдеров, перебои в работе которых ощутимы, т.к. все они исправили ошибку».

Из-за того, что баг был обнаружен в лаборатории компании CrowdStrike, нет опубликованного кода, с которого можно начать атаку. Геффнер говорит, что уязвимость эксплуатируется достаточно просто, но составление вредоносного кода — сложная задача.

С момента уведомления компаний в конце апреля до начала исправления затронутых систем прошло около двух недель.

Производитель VirtualBox компания Oracle, в письме заявила, что ей было известно о проблеме, и что она исправила у себя баг, добавив, что скоро будет выпущено обновление.

«Мы собираемся выпустить обновленную версию VirtualBox 4.3 очень скоро. Но даже сейчас уязвимость затрагивает весьма ограниченное число пользователей, т.к. эмуляция флоппи дисковода отключена в большинстве стандартных конфигураций», — заявил рукводитель разрабоки Френк Менерт (Frank Mehnert).

Представитель The Linux Foundation, который ведет Xen Project, отказался рассказать подробности, но отметил, что выпущено информационное сообщение