VENOM: Gravísima vulnerabilidad en QEMU, Xen, KVM y VirtualBox permite a atacantes obtener control total de parques enteros de servidores virtuales

Alister WhiteHat
Eurecat —  ITSecurity Blog
2 min readJun 11, 2015

El grupo de investigación CrowdStrike se ha descubierto un peligroso problema de seguridad que afecta severamente a las infraestructuras virtualizadas que se utilizan en gran parte de los proveedores de servidores actuales así como en las infraestructuras TI de gran parte de empresas.

El error, cuyo código implicado proviene del emulador de código abierto QEMU, data de hace más de 10 años y ha sido heredado por otras soluciones de virtualización mas modernas que han reaprovechado el còdigo de la primera (Xen, KVM, VirtualBox y posiblemnte otras. Las soluciones VMWare no presentan la vulnerabilidad). A pesar de lo extendido de este código, el bug ha permanecido latente y no descubierto hasta ahora.

Dicha vulnerabilidad, bautizada como VENOM, (CVE-2015–3456) reside en el sistema de virtualización de controladores de disquette floppy (el clásico disquette de tres pulgadas y media).

Aunque las máquinas virtuales no dipongan de un floppy virtualizado en su configuración, lamentablemente otro bug complementario permite que el código siga vigente en todas las máquinas virtuales y por tanto todas son vulnerables independientemente de que tengan o no un floppy virtual en sus configuraciones.

Para llevar a cabo el ataque, se le debe enviar al hipervisor que gobierna la máquina virtual un conjunto de datos/peticiones debidamente malformadas, cuyo destino es el código de gestión de disquetes floppy virtuales antes mencionado. Dicha petición malformada puede fracturar por completo el hipervisor y permitir la ejecución de código arbitrario dentro de la máquina virtual, completamente liberado del control de hipervisor y con capacidad de manipular totalmente la máquina virtualizada, sin que esta tenga modo alguno de protegerse de lecturas, escrituras o manipulaciones diversas.

De hecho, la explotación de este bug hace posible posible acceder a todas las máquinas virtuales corriendo bajo el mismo hipervisor, permitiendo así que el ataque se haga transversal y que pueda conseguir el control de servidores virtuales de otras empresas y personas en el mismo golpe:

La vulnerabilidad podría ser la de mayor alcance y gravedad encontrada este año.

Más información: http://venom.crowdstrike.com/

--

--

Alister WhiteHat
Eurecat —  ITSecurity Blog

Cybersecurity, Cyberlaw and Cyberinvestigation for the Defense of Companies and their Reputation