Un « empoisonnement » qui pourrait entraîner une évasion de la machine virtuelle et le vol de données.

Une vulnérabilité a été découverte dans un composant discret présent sur de nombreuses plateformes virtuelles. Elle permet à l’attaquant de s’échapper de la machine virtuelle et d’exécuter du code sur la machine hôte ainsi que sur d’autres machines virtuelles dans cet environnement. D’après les experts, cette faille concerne un large éventail de solutions de virtualisation sous les systèmes d’exploitation les plus populaires.

Afin de pouvoir exploiter cette vulnérabilité, le pirate doit simplement solliciter des services d’hébergement Cloud auprès d’un prestataire. Il pourra alors utiliser la vulnérabilité pour sortir de sa machine virtuelle et accéder à n’importe quelle autre machine virtuelle chez l’hôte. L’attaquant pourrait même s’introduire dans le réseau local auquel appartient l’hôte et accéder ainsi aux données confidentielles qui y sont conservées. Ce bogue dangereux a été détecté par Jason Geffner, expert des études sur la sécurité de l’information chez CrowdStrike.

La vulnérabilité se trouve dans le contrôleur virtuel de disquette (FDC) qui appartient à QEMU, un ensemble d’outils d’émulation dont le code source est ouvert. On retrouve se composant vulnérable dans différentes solutions de virtualisation, dont Xen et KVM et les hébergeurs qui utilisent ces plateformes représentent la cible la plus importante des attaquants. Vu la tendance à la migration des ressources de l’entreprise vers le Cloud, les dégâts potentiel liés à l’exploitation d’une vulnérabilité vieille d’une décennie pourraient être considérables.

« Une attaque de ce genre requiert des investissements : en général, l’individu malintentionné doit simplement trouver le code d’exploitation qui lui convient, mais dans ce cas précis, il doit payer s’il souhaite obtenir certaines autorisations locales » explique Dan Kaminsky, co-fondateur de White Ops. Il poursuit : « Le code qui permet d’isoler les machines virtuelles est très répandu, mais comme tous les codes, il a des faiblesses. De nombreux services d’hébergement Cloud proposent de renforcer l’isolement du matériel afin que les clients puissent réduire les communications ouvertes entre les machines virtuelles au minimum, à savoir seulement au sein des limites de leur organisation. Si on vous propose un tel service, pensez à l’acheter afin de réduire les chances des attaquants. »

S’il est vrai que les disquettes appartiennent définitivement au passé, le code FDC, à l’origine de cette vulnérabilité, est toujours largement utilisé à l’heure actuelle. Dans la section consacrée aux questions fréquemment posées de leur rapport sur cette faille dangereuse, les experts expliquent que « dans le cas de nombreuses solutions d’émulation vulnérables, le lecteur de disquette virtuel est ajouté par défaut aux nouvelles machines virtuelles. S’agissant de Xen et QEMU, l’administrateur peut interdire l’exécution de cette fonction, mais une autre erreur, sans rapport avec cette vulnérabilité, fait que le code FDC demeure actif et peut être exploité. »

Cette vulnérabilité critique a été baptiséeVENOM pour Virtualized Environment Neglected Operations Manipulation (Opérations de manipulation d’une négligence sur les environnements virtualisés). VENOM signifie également venin ou poison en anglais. Jason Geffner a découvert la vulnérabilité lors d’un audit d’hyperviseurs de machines virtuelles. Ce bogue existe depuis 2004, à savoir depuis l’ajout du code du contrôleur de disquettes virtuel à QEMU. Les développeurs de Xen et QEMU ont déjà publié les correctifs de rigueur et la majorité des grands prestataires de service d’hébergement Cloud ont adopté des mesures contre le code d’exploitation. Ceci étant dit, Dan Kaminsky, qui coopère avec CrowdStrike sur la mise au point d’une solution, considère que la menace de l’utilisation de VENOM dans le cadre d’une attaque est toujours d’actualité.

« Nous utilisons de plus en plus des bacs à sable pour analyser le trafic. Cela a un coût » explique l’expert. L’évasion de la machine virtuelle (et ici, nous sommes en présence d’un cas particulier vu sa répartition dans tout l’écosystème) permet à l’attaquant de voir tout le trafic sur le réseau attaqué. Il n’est pas possible d’appliquer un correctif à une architecture qui repose sur un bac à sable de la même manière que dans un matériel réseau traditionnel. Si vous utilisez ce type d’architecture, réalisez sur le champ une analyse détaillée car de par sa nature, cette architecture est ouverte aux utilisations malveillantes. »

Les membres du projet Xen ont consacré un bulletin spécial à VENOM. Les développeurs ont déclaré : « Cette vulnérabilité touche d’une manière ou d’une autre (en fonction de la configuration) tous les systèmes Xen dont la plateforme invitée tourne sous une architecture x86 et qui fonctionnent en mode de virtualisation complète et sans utilisation de domaines privés. La configuration par défaut est également vulnérable, à l’instar des systèmes invités compatibles avec les modèles qemu-xen ou qemu. Les systèmes invités qui utilisent le processus qemu-dm pour le modèle sont uniquement exposés à l’interception du domaine de service. »

D’après les représentants d’Amazon, un des plus grands prestataires de services d’hébergement Cloud, le bogue VENOM ne les concerne pas. « Nous sommes au courant des problèmes de sécurité lié à QEMU sous le numéro CVE-2015-3456, connus également sous le nom de VENOM, qui touchent plusieurs plateformes de virtualisation » peut-on lire dans un bulletin d’informations d’Amazon. « Il n’y a toutefois aucune risque pour les données des clients d’AWS, ni pour leurs systèmes ».

Source: threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *