Pannes dans le Cloud suite à la réparation d’un hyperviseur

Les membres du Xen Project ont publié un bulletin de sécurité consacré à une vulnérabilité critique dans la machine virtuelle et l’hyperviseur du même nom. Cette faille permet d’organiser des attaques contre des services du cloud public qui entraînent l’arrêt des machines hôtes et qui peuvent même permettre de voler un faible volume de données aléatoires. Le correctif correspondant a été proposé à certains prestataires sous condition de non divulgation, des interventions techniques réalisées le dernier week-end de septembre ont provoqué des interruptions de service surprises pour de nombreux utilisateurs.

L’hyperviseur Xen et le logiciel correspondant sont utilisés par de nombreux services Internet d’envergure comme Amazon Web Services, Verizon Cloud et Rackspace. En général, les membres du projet ne publient aucun commentaire sur leurs bulletins d’informations, mais cette fois-ci, le conseil d’experts a fait une exception afin de démentir les informations selon lesquelles XSA-108 serait similaire à la vulnérabilité Shellshock découverte dans Bash. Pour clarifier la situation, ces deux bogues n’ont aucun lien, si ce n’est qu’il s’agit de vulnérabilités critiques.š

"XSA-108 est le résultat d’une erreur dans le code d’émulation utilisé lors de l’exécution du système d’exploitation invité sur des processeurs x86. Ce bogue permet à l’attaquant d’augmenter les privilèges pour le système d’exploitation invité et de provoquer l’arrêt de l’ordinateur hôte ou de lire jusqu’ 3 Ko de données aléatoires de la mémoire qui n’est pas affectée à ce système d’exploitation. Si ce secteur de mémoire est attribué à un autre système d’exploitation invité ou à l’hyperviseur, il pourrait contenir des informations confidentielles" expliquent les représentants de Xen Project dans leur publication.

D’après les experts, cette vulnérabilité ne concerne pas les systèmes d’exploitation invités modifiés en vue d’une exécution sans virtualisation matérielle. Le correctif pour Xen a déjà été diffusé, mais au début, il était soumis à un embargo qui n’a été levé que le 1er octobre. Pour cette raison, il est impossible de dire à l’heure actuelle qui a pu l’installer. On peut lire dans le blog de Xen Project que "certains prestataires de services dans le Cloud ont estimé qu’ils devaient mettre leurs serveurs à jour afin de réduire les risques pour les utilisateurs. Il est plus que probable que des prestataires plus modestes ont agi de la même manière. Les fournisseurs de logiciels et de distributions de Linux commenceront à proposer les mises à jour à leurs utilisateurs dès que l’embargo aura été levé."

Amazon et Rackspace ont considéré cette vulnérabilité comme étant assez grave pour justifier une intervention non prévue sur leurs système, ce qui a provoqué le mécontentement des utilisateurs. Amazon avait pourtant publié un avertissement dans son blog qui indiquait que, dans certains cas, les clients devraient relancer le système pour installer la mise à jour. Rackspace avait quant à elle décidé d’installer le correctif sans aucun avis car elle avait estimé que la mention d’un nom aussi connu que Xen attirerait l’attention des individus malintentionnés sur cette dangereuse vulnérabililté.

Dans les excuses adressées aux utilisateurs, Taylor Rhodes, directeur exécutif de Rackspace a déclaré  : "Nous avons réagi sur le champ, pensant que cela serait le moindre mal et ce n’est qu’ensuite que nous vous avons prévenu ainsi que nos partenaires de la communauté Xen sur l’urgence de redémarrer les serveurs Web. Même dans cet avis, nous n’avons pas évoqué Xen en tant que cause car nous ne voulions pas attirer l’attention des cybercriminels." Taylor Rhodes s’en est pris également à un "autre prestataire important de services dans le Cloud" qui avait divulgué le nom de Xen au moment de prévenir ses clients sur d’éventuelles interruptions de service liées à la mise à jour. D’après le responsable de Rackspace, ce comportement a "augmenté le risque pour tous les utilisateurs des versions vulnérables de l’hyperviseur". Il signale également que les données des clients de Rackspace n’ont heureusement pas souffert de cette vulnérabilité.š

Source:        Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *