El veneno llega a las arterias de la virtualización, VENOM aterriza en los centros de datos.

En la seguridad informática existe siempre la constante carrera entre el anuncio de un fallo de seguridad y la salida del update que hace de parche al mismo, y es durante ese tiempo que las cosas se ponen un poco tensas en los departamentos de IT de las empresas privadas y publicas. El asunto es que generalmente los que sacan partidos de la tecnología de virtualizacion se sienten un tanto seguros de esta costosa y eficiente técnica que ha venido a simplificar la vida de muchos, pero para romper con esa tranquilidad nos llega “VENOM”.

Pues desde que conocimos Heart Bleed (bug que permitía conocer las claves de cifrado privadas haciendo un volcado de la memoria del Server) no habíamos tenido tanto movimiento hasta hace unos dias cuando se ha descubierto VENOM (Virtualized Environment Neglected Operations Manipulation), esta vulnerabilidad fue descubierta por Jason Geffner Senior Security Researcher de la compañia CrowdStrike.

¿Como funciona VENOM?

Antes que todo imaginemos un entorno virtualizado donde existen varios servidores ofreciendo y supliendo las necesidades de la empresa y de los clientes, ahora imaginemos que un atacante logre comprometer un solo de esos servidores y desde ahí sea capaz de extenderse a los demas servidores virtuales e incluso al mismo sistema huesped.

Suena terrorifico verdad?

Lo mas terrible es que es totalmente posible.

Pues todo comienza con un Bug en el código del controlador FDC (Floppy Disk Controller) en QEMU, que es por mucho la tecnología mas usada por las plataformas de virtualización alrededor del mundo y quizás muchos lleguen a la conclusión de:

Pero Floppy Drive es algo totalmente obsoleto…

Y aunque es muy cierto que los Floppy Drive son algo del pasado también es cierto que la mayoría de maquinas virtuales traen por defecto al menos una unidad Floppy activada y aunque el administrador deshabilite la misma igual sigue de forma nativa el controlador para hacer funcionar la misma.

VENOM afecta directamente a QEMU 2.3.0 y sus versiones anteriores, asi como a Xen y KVM, lo que podría traducirse en decir que afecta a:

* xen:4.5.0
* redhat:enterprise_linux:5
* redhat:enterprise_linux:6
* redhat:enterprise_linux:7.0
* redhat:enterprise_virtualization:3.0
* redhat:openstack:4.0
* redhat:openstack:5.0
* redhat:openstack:6.0
* redhat:openstack:7.0

Cabe resaltar que VMware, Microsoft Hyper-V, and Bochs hypervisors no son vulnerables a VENOM.

VENOM es una vulnerabilidad existente desde el 2004 fecha en que se agrego por primera vez el controlador de Floppy Disk a QEMU.

¿Que hacer frente a VENOM?

Pues como decía al inicio del articulo la seguridad informática es la carrera entre el tiempo en el que se publica una vulnerabilidad y el tiempo que tarda esta en ser parcheada así que la mayoría de las soluciones vienen a ser las mismas para la mayoría de ellas, entre las posibles soluciones recomendadas por los chicos de CrowdStrike están:

  • Buscar e instalar las ultimas actualizaciones a medida que son desarrolladas
  • Una medida buena seria limitar el acceso de los usuarios a los servicios virtualizados.
  • Si recibes el servicio de virtualización por parte de un proveedor ponte en contacto con ellos y asegúrate de que hayan tomado las medidas necesarias.

Esto es todo por hoy, saludos mis seguros inseguros lectores, hasta el próximo articulo y recuerda si te gusto compártelo y ayúdame a llegar a mas personas.

Anuncios