VENOM : un poison pour des millions de machines virtuelles
Des millions de machines virtuelles sont exposées à la faille de sécurité VENOM, qui touche le contrôleur de disquettes sur les hyperviseurs Xen, KVM et VirtualBox.
La menace VENOM plane sur des millions de machines virtuelles.
Derrière cet acronyme qui signifie « Virtualized Environment Neglected Operations Manipulation » – et que l’on peut traduire en français par « venin » – se cache une faille de sécurité découverte par Jason Geffner, de la société CrowdStrike.
Cette vulnérabilité touche l’une des composantes de l’hyperviseur open source QEMU (Quick Emulator) : le contrôleur de disquette virtuel.
Existant depuis 2004, cette fonction est présente par défaut sur les hyperviseurs KVM, Xen et Oracle VirtualBox. Plusieurs millions de machines virtuelles sont donc concernées, qu’elles tournent sur des serveurs, des appliances ou dans le cloud. Si bien que la brèche est classée critique.
Pour Jason Geffner, VENOM est unique : affectant plusieurs types de plates-formes de virtualisation (à l’exception de VMware et Hyper-V), elle est agnostique sur les OS (Windows, Mac, Linux, etc.) et permet d’exécuter directement du code arbitraire dans la VM.
Dans une machine virtuelle, l’OS invité (guest) communique avec le contrôleur de disquette virtuel en envoyant des commandes de type « lire », « écrire », « rechercher » ou « formater ».
Pour stocker ces commandes et les paramètres associés, QEMU s’appuie sur une mémoire tampon de capacité fixe. Cette dernière est effacée après chaque opération… sauf pour deux commandes prédéfinies, qu’un tiers peut donc exploiter pour déborder la mémoire tampon et exécuter son propre code.
Une telle faille peut entraîner la fuite de données sensibles. Bien qu’encore non exploitée à l’heure actuelle selon Jason Geffner, elle nécessite de déployer au plus vite les correctifs disponibles (pour QEMU Project et pour Xen Project ; rien pour le moment du côté des solutions KVM).
Difficile de ne pas effectuer de rapprochement avec Heartbleed, cette vulnérabilité découverte l’année dernière dans la bibliothèque de chiffrement OpenSSL.
Mais pour Jason Geffner, il n’y a pas de comparaison : « Heartbleed permettait à un attaquant de regarder à travers la fenêtre d’une maison et de recueillir des informations sur la base de ce qu’ils voient. VENOM permet de tout casser dans la maison, mais aussi de détruire les maisons du voisinage ».
Comme le note Silicon.fr, le véritable point commun entre les deux failles est la question qu’elles soulèvent à propos de la sécurité des solutions open source.
Crédit photo : Joe McDonald – Shutterstock.com