Infos

Pannes dans le Cloud suite à la réparation d’un hyperviseur

Les membres du Xen Project ont publié un bulletin de sécurité consacré à une vulnérabilité critique dans la machine virtuelle et l’hyperviseur du même nom. Cette faille permet d’organiser des attaques contre des services du cloud public qui entraînent l’arrêt des machines hôtes et qui peuvent même permettre de voler un faible volume de données aléatoires. Le correctif correspondant a été proposé à certains prestataires sous condition de non divulgation, des interventions techniques réalisées le dernier week-end de septembre ont provoqué des interruptions de service surprises pour de nombreux utilisateurs.

L’hyperviseur Xen et le logiciel correspondant sont utilisés par de nombreux services Internet d’envergure comme Amazon Web Services, Verizon Cloud et Rackspace. En général, les membres du projet ne publient aucun commentaire sur leurs bulletins d’informations, mais cette fois-ci, le conseil d’experts a fait une exception afin de démentir les informations selon lesquelles XSA-108 serait similaire à la vulnérabilité Shellshock découverte dans Bash. Pour clarifier la situation, ces deux bogues n’ont aucun lien, si ce n’est qu’il s’agit de vulnérabilités critiques.š

"XSA-108 est le résultat d’une erreur dans le code d’émulation utilisé lors de l’exécution du système d’exploitation invité sur des processeurs x86. Ce bogue permet à l’attaquant d’augmenter les privilèges pour le système d’exploitation invité et de provoquer l’arrêt de l’ordinateur hôte ou de lire jusqu’ 3 Ko de données aléatoires de la mémoire qui n’est pas affectée à ce système d’exploitation. Si ce secteur de mémoire est attribué à un autre système d’exploitation invité ou à l’hyperviseur, il pourrait contenir des informations confidentielles" expliquent les représentants de Xen Project dans leur publication.

D’après les experts, cette vulnérabilité ne concerne pas les systèmes d’exploitation invités modifiés en vue d’une exécution sans virtualisation matérielle. Le correctif pour Xen a déjà été diffusé, mais au début, il était soumis à un embargo qui n’a été levé que le 1er octobre. Pour cette raison, il est impossible de dire à l’heure actuelle qui a pu l’installer. On peut lire dans le blog de Xen Project que "certains prestataires de services dans le Cloud ont estimé qu’ils devaient mettre leurs serveurs à jour afin de réduire les risques pour les utilisateurs. Il est plus que probable que des prestataires plus modestes ont agi de la même manière. Les fournisseurs de logiciels et de distributions de Linux commenceront à proposer les mises à jour à leurs utilisateurs dès que l’embargo aura été levé."

Amazon et Rackspace ont considéré cette vulnérabilité comme étant assez grave pour justifier une intervention non prévue sur leurs système, ce qui a provoqué le mécontentement des utilisateurs. Amazon avait pourtant publié un avertissement dans son blog qui indiquait que, dans certains cas, les clients devraient relancer le système pour installer la mise à jour. Rackspace avait quant à elle décidé d’installer le correctif sans aucun avis car elle avait estimé que la mention d’un nom aussi connu que Xen attirerait l’attention des individus malintentionnés sur cette dangereuse vulnérabililté.

Dans les excuses adressées aux utilisateurs, Taylor Rhodes, directeur exécutif de Rackspace a déclaré  : "Nous avons réagi sur le champ, pensant que cela serait le moindre mal et ce n’est qu’ensuite que nous vous avons prévenu ainsi que nos partenaires de la communauté Xen sur l’urgence de redémarrer les serveurs Web. Même dans cet avis, nous n’avons pas évoqué Xen en tant que cause car nous ne voulions pas attirer l’attention des cybercriminels." Taylor Rhodes s’en est pris également à un "autre prestataire important de services dans le Cloud" qui avait divulgué le nom de Xen au moment de prévenir ses clients sur d’éventuelles interruptions de service liées à la mise à jour. D’après le responsable de Rackspace, ce comportement a "augmenté le risque pour tous les utilisateurs des versions vulnérables de l’hyperviseur". Il signale également que les données des clients de Rackspace n’ont heureusement pas souffert de cette vulnérabilité.š

Source:        Threatpost

Pannes dans le Cloud suite à la réparation d’un hyperviseur

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception