VENOM Vulnerability - All VM are in Risk? (CVE-2015-3456)

VENOM (CVE-2015-3456) is (Virtualized Eniroment Negleted Operations Manipulation), lo que viene a decir, que se ha descubierto una vulnerabilidad que permite acceder por completo al entorno de ejecución del hipervisor desde una máquina virtual cualquiera, lo que significa acceder por completo al entorno de ejecución del resto de máquina virtuales que tiene el Host en ejecución.

 Xen Security Advisory CVE-2015-3456 / XSA-133

version 2

Privilege escalation via emulated floppy disk drive

A continuación un ejemplo gráfico que ilustrará en que consiste la vulnerabilidad, y ayudará para evaluar el nivel de riesgo que tiene tu organización, si estas afectado por VENOM:

Crowdstrike - VENOM vulnerability

This vulnerability may allow an attacker to escape from the confines of an affected virtual machine (VM) guest and potentially obtain code-execution access to the host.

Pero ¿Qué sistema de virtualización se encuentra afectado por dicha vulnerabilidad?

The bug is in QEMU’s virtual Floppy Disk Controller (FDC). This vulnerable FDC code is used in numerous virtualization platforms and appliances, notably Xen, KVM, and the native QEMU client.

Sabemos por tanto que no todas VM se encuentran en riesgo, sino aquellas que están "running" en sistema virtuales basado en XEN, KVM y QEMU.

Las máquinas virtuales sobre VMware, Microsoft Hyper-V y  Bochs  no se encuentran afectadas por esta vulnerabilidad.

UPDATE: Si trabajas con KVM, QEMU y XEN Hypervisor, consulta las novedades en parches y actualizaciones de seguridad, aquí os dejo una muestra:

CrowdStrike is aware of the following vendor patches, advisories, and notifications.

• QEMU: http://git.qemu.org/?p=qemu.git;a=commitdiff;h=e907746266721f305d67bc0718795fedee2e824c
• Xen Project: http://xenbits.xen.org/xsa/advisory-133.html
• Red Hat: https://access.redhat.com/articles/1444903
• Citrix: http://support.citrix.com/article/CTX201078
• FireEye: https://www.fireeye.com/content/dam/fireeye-www/support/pdfs/fireeye-venom-vulnerability.pdf
• Linode: https://blog.linode.com/2015/05/13/venom-cve-2015-3456-vulnerability-and-linode/
• Rackspace: https://community.rackspace.com/general/f/53/t/5187
• Ubuntu: http://www.ubuntu.com/usn/usn-2608-1/
• Debian: https://security-tracker.debian.org/tracker/CVE-2015-3456
• Suse: https://www.suse.com/support/kb/doc.php?id=7016497
• DigitalOcean: https://www.digitalocean.com/company/blog/update-on-CVE-2015-3456/
• f5: https://support.f5.com/kb/en-us/solutions/public/16000/600/sol16620.html

We recommend you reach out to your vendors directly to get the latest security updates.

¿Qué pasa con QubesOS?

Hasta que no salga la versión 3.0 ésta se encuentra desarrollada sobre un hypervisor XEN, por lo que consulta la página oficial para conocer si esta disponible el parche.

Referencia: http://venom.crowdstrike.com/ | http://xenbits.xen.org/xsa/advisory-133.html

#ST2Labs - www.st2labs.com