Ha sido reportado una vulnerabilidad crítica en las plataformas Xen, KVM, y QEMU que le permiten a un atacante romper la seguridad del ambiente de las máquinas virtuales y tomar control del sistema operativo que lo hostea.
Se trata de una vulnerabilidad del tipo “Buffer Overflow” que afecta la emulación del controlador del disco Floppy en el componente QEMU en los hipervisores KVM/QEMU y Xen. La vulnerabilidad fue registrada bajo CVE-2015-3456 y ahora es nombrado VENOM (virtualized environment neglected operations manipulation), es considerada de alto impacto.
Detalles
Un usuario privilegiado puede usar la falla para inhabilitar el Host o ejecutar código arbitrario con el privilegio del proceso QEMU correspondiente a la VM. Es bueno mencionar que aunque las máquinas virtuales no tengan un disco floppy configurado y conectado, la vulnerabilidad puede ser explotada.
Actualmente no se conoce de un exploit que se aproveche de esta vulnerabilidad. Las funcionalidades sVirt y seccomp usados para restringir el acceso a los procesos privilegiados QEMU, pueden mitigar el impacto de la explotación de dicha vulnerabilidad.
Parches
Algunos proyectos ya han publicado sus parches para solucionar la vulnerabilidad.
Un investigador de Rapid7 ha indicado en un email que la vulnerabilidad no es tan seria. Tod Beardsley escribe:
“Los usuarios mas afectados por VENOM son aquellos que corren servicios de VPS y que con frecuencia le dan accesos privilegiados a extraños en las máquinas virtuales, y por igual los usuarios que contratan estos servicios. Los clientes de estos servicios de VPS deben asegurarse que sus proveedores apliquen los parches de lugar.
Asi que dicho esto, que tan fácil es explotar VENOM y tomar control de los sistemas operativos que hostean las máquinas virtuales? En este momento no se ha lanzado una prueba de concepto que demuestre lo reportado, asi que existe la interrogante de si es o no, fácilmente explotable.
Es importante mencionar que aunque esta vulnerabilidad es técnicamente solo local, una explotación exitosa lleva a saltarse la máquina virtual y comprometer el sistema operativo que lo hostea.”
Si obtenemos mas información, pues estaremos actualizando el POST.
Fuente: arsTechnica | Red Hat | jsitech
