SecurityInsider
Le blog des experts sécurité Wavestone

VENOM : LA vulnérabilité du premier semestre ?


Depuis maintenant un an, les vulnérabilités avec un nom marketing se multiplient et sont régulièrement publiées. Après Heartblead, ShellShock, Poodle, Ghost, etc. c’est désormais au tour de VENOM de faire son apparition et d’agiter la sphère de la sécurité des hyperviseurs.

Un nom, un logo et un impact important

VENOM est l’acronyme de Virtualized Environment Neglected Operations Manipulation. Cette vulnérabilité a été rendue publique par Jason GEFFNER consultant en sécurité pour CrowStrike le 13 mai dernier. Sa découverte remonte cependant à fin avril, date à laquelle des échanges privés sont initiés avec les éditeurs en vue de leur permettre le développement de correctifs.
Sa médiatisation, ces derniers jours, est notamment due aux conséquences de son exploitation. Cette vulnérabilité présente au niveau de l’émulation du Floppy Disk Controller par QEMU permet depuis une machine virtuelle de s’échapper du cloisonnement opéré par l’hyperviseur afin d’accéder à d’autres machines virtuelles.

Rappel sur QEMU et périmètre impacté

QEMU (Quick EMUlator) est un composant open-source d’émulation et de virtualisation utilisé notamment par les hyperviseurs Xen et KVM.
Ils font partie des solutions open-source les plus déployées en entreprise et sont en concurrence avec les solutions de VMware (vSphere) et Microsoft (Hyper-V).
De nombreux éditeurs intègrent ces solutions open-source à leurs produits et sont donc directement impactés par cette vulnérabilité. On retrouve notamment :
  • RedHat
  • Debian
  • Suse
  • Etc.

Mais également des fournisseurs d’offre d’hébergement dans le cloud comme Amazon.
Cette vulnérabilité est, par ailleurs, exploitable sur une configuration par défaut contrairement à d’autres vulnérabilités du même type (rupture du cloisonnement virtuel). Le périmètre impacté par VENOM est donc assez large.

Fonctionnement de VENOM

VENOM est aussi connue sous le nom de CVE-2015-3456 et serait présente depuis l’introduction du contrôleur vulnérable sur QEMU, en 2004. 
À travers un accès administrateur sur une machine virtuelle, l’attaquant peut exploiter un buffer overflow au niveau du Floppy Disk Controller (FDC) afin de créer un déni de service ou une exécution de code arbitraire au niveau de l’hyperviseur.
Dans le détail : le système invité (machine virtuelle) envoie des commandes (read, write, seek, etc.) au FDC pour communiquer avec lui. Le FDC utilise un tampon (buffer) pour stocker les commandes et paramètres envoyés par la machine virtuelle. Le FDC exécute les commandes et ensuite vide ce buffer dans l’attente de nouvelles commandes. Toutefois, pour deux commandes spécifiques, le buffer n’est pas vidé. En définissant les paramètres appelés par ces commandes, un attaquant peut exécuter du code arbitraire dans le contexte de l’hyperviseur.
Suite à l’exécution de code, l’attaquant accède aux autres machines virtuelles hébergées par l’hyperviseur et rompt ainsi le cloisonnement intrinsèque à la virtualisation.

Source : venom.crowdstrike.com
Ce scénario est particulièrement envisageable dans le cadre des offres d’hébergement de machines virtuelles auxquelles il est possible de souscrire pour quelques euros (ou dizaines d’euros) par mois. Sur celle-ci, l’attaquant installe sa propre machine virtuelle sur laquelle il possède les droits et le contrôle nécessaire à l’exécution de l’attaque en vue d’accéder aux autres machines hébergées par le fournisseur.
Autre point, l’exploitation de cette vulnérabilité permet depuis l’accès obtenu sur l’hyperviseur d’étendre l’attaque aux systèmes physiques accessibles depuis l’hyperviseur. Ainsi d’autres hyperviseurs, systèmes, bases de données, etc. peuvent être impactés « par rebond ».

Remédiation

Depuis ces révélations, des correctifs ont été publiés par les éditeurs impactés. Il est cependant important de prendre en compte qu’un redémarrage (arrêt puis démarrage, le classique reboot n’étant pas suffisant car le binaire non patché est utilisé dans ce cas) des systèmes hôtes est théoriquement nécessaire pour la prise en compte de ces correctifs.
Toutefois, Endurance International Group a publié une méthode qui permettrait d’appliquer ce correctif sans redémarrage des instances virtuelles (source : www.venomfix.com).
Bien que Jason GEFFNER ait annoncé qu’il ne rendra pas public le code permettant d’exploiter VENOM, il sera intéressant de suivre si des exploits ne sont pas développés prochainement afin de rendre cette vulnérabilité largement exploitable.

Alexis BONSERGENT

Aucun commentaire:

Enregistrer un commentaire