VenomBug, la vulnerabilidad que ¡afecta a tu disquetera!

0

venombug

Venom, descrita en el boletín CVE-2015-3456 de seguridad es una vulnerabilidad que reside en el código asociado a la unidad de disquete virtual, empleada en muchos sistemas de virtualización. Esta vulnerabilidad podría permitir a un atacante escapar del entorno virtualizado de la máquina.

Si un malware o atacante es capaz de escapar del confinamiento de una máquina virtual, será capaz de ejecutar código dañino en nuestro equipo local. Si no se mitiga el error, también estaríamos dando acceso al resto de máquinas virtuales ejecutándose en el equipo, lo que daría al adversario acceso a las redes locales del servidor y sistemas adyacentes.

Gráfico esquemático sobre VenomBug

Gráfico esquemático sobre VenomBug

La explotación de esta vulnerabilidad podría exponer nuestra propiedad intelectual o datos privados a los atacantes. Si tenemos una empresa, esta podría a su vez exponer los datos de otras sociedades y proveedores. en caso de que estos empleen la tecnología de virtualización y recursos compartidos.

VenomBug, ataques a la disquetera

El fallo está localizado en el FDC virtual o Floppy Disk Controller  de QEMU -un software para emular procesos de código abierto-. Este código vulnerable es utilizado a día de hoy en muchas plataformas y sectores, destacando entre ellas notably Xen, VirtualBox, KVM y el cliente QEMU nativo.

VenomBug

Debido a que la vulnerabilidad Venom reside en el código base del Hypervisor, la vulnerabilidad es agnóstica -afecta por igual- al sistema operativo: Linux, Windows, Mac OSX, etc.

Eso sí, a pesar de ser agnóstica respecto al sistema operativo hospedado, la vulnerabilidad requiere que el atacante o el malware en cuestión tengan privilegios de administrador o root adquiridos en el sistema operativo invitado para poder ejecutar Venom.

Parches correctivos para VenomBug

CrowdStrike nos informa en esta lista de las actualizaciones correctivas para cada plataforma:

¿Se han producido ya ataques basados en VenomBug?

Hasta ahora, ni CrowdStrike (descubridor del suceso) ni sus partners han constatado que se esté sacando partido del fallo de forma indiscriminada.

¿Por qué debemos preocuparnos de un fallo que afecta a la disquetera si es un sistema obsoleto?

Por una sencilla razón: en muchos productos dedicados a la virtualización, una unidad de disquete virtual se añade por defecto a las máquinas virtuales recién creadas.

En concreto, en los sistemas Xen y QEMU, incluso si el administrador desactiva de forma explícita la unidad de disquete, un problema en el programa provoca que el código FDC vulnerable siga existiendo.

Software Xen en funcionamiento

Software Xen en funcionamiento

Detalles del problema

El sistema operativo emulado se comunica con el FDC mediante el envío de comandos como búsqueda, escritura, formateo y similares hacia el puerto de entrada/salida FDC. Se emplea un búfer de tamaño fijo para guardar estos comandos y sus propiedades. El FDC lleva un seguimiento de cuantos datos espera por cada comando y, después de que se reciba la cantidad esperada de datos de una orden, se vacía el búfer en espera del siguiente comando entrante.

El restablecimiento del búfer se lleva a cabo inmediatamente tras finalización de los comandos FDC, excepto en dos comandos concretos. Un atacante podría modificar estos comandos, enviándolos con un parámetro concreto al anfitrión que cause un desbordamiento de búfer y, con esos datos fuera de control, ejecutar su código propio en el proceso del hypervisor.


Créditos a Jason Geffner, de CrowdStrike, por el descubrimiento del problema

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR