Все, что вам необходимо знать о баге VENOM

VENOM – критическая уязвимость в компоненте популярных виртуальных платформ, которая открывает возможность эксплуатации аккаунтов облачных сервисов.

Все, что вы хотели знать о баге VENOM

Об уязвимости под названием VENOM, еще одном серьезном баге среди брешей, открывающих для эксплуатации огромные «площади» Интернета, за последние несколько дней было сказано много. Это очень старый баг, обнаруженный в сравнительно новой ИТ-концепции — виртуализации.

Виртуальные машины — это что-то вроде независимо работающих компьютеров внутри других вычислительных систем. Так называемое «облако» — это по большому счету обширная сеть, объединяющая множество виртуальных машин. Суть данного бага вот в чем: используя VENOM, злоумышленник может «сбежать» из гостевой виртуальной среды в другую и выполнить в последней вредоносный код.

Некоторые журналисты, с большим энтузиазмом подходящие к тематике ИБ (а может, более склонные к поиску сенсаций), уже назвали VENOM более серьезной угрозой, чем наделавшая в свое время шуму уязвимость Heartbleed в OpenSSL. Мне кажется, наиболее трезвое мнение по этому поводу выразил известный ИБ-эксперт Дэн Камински (Dan Kaminsky).

Каждая серьезная уязвимость сегодня получает имя, логотип и даже команду пиарщиков, выдвигающих ее на звание самого страшного бага в истории

«Я думаю, что мы упустили что-то важное, когда начали сравнивать баги друг с другом, — признался Камински Деннису Фишеру в подкасте Digital Underground на Threatpost. — Это же, в конце концов, не Железный человек против Капитана Америки. Это не Мстители, черт возьми, это наука!»

Сегодня отрасль информационной безопасности приобрела новые черты: каждый значительный баг получает уникальное название, которое отлично смотрится в качестве хэштега, собственный логотип и даже команду пиарщиков, выдвигающих его на звание самого страшного бага в истории.

«Серьезные баги постоянно всплывают, — объяснил Камински в подкасте. — Да, они несут в себе опасности, но мы просто берем и занимаемся ими… То есть, допустим, была обнаружена большая проблема, мы собрались — и решили ее. Раньше с этим вообще было намного хуже. Мы собственными силами, не привлекая внимания, делали что могли, чтобы справиться с багом, а теперь мы говорим об этом открыто, чтобы большее число людей могло заняться решением проблемы. Вот что мы делаем».

Это не попытка принизить степень критичности VENOM, потому что эта уязвимость действительно весьма неприятная. Сегодня виртуализация и виртуальные машины играют все более важную роль в работе Интернета. Благодаря им работает принцип облачных вычислений, на который все в большей мере полагаются сервис-провайдеры, ведь намного дешевле купить виртуальный сервер, скажем, у Amazon, чем строить собственную серверную ферму. Эксплуатируя VENOM, атакующий имеет возможность купить облачную среду у сервис-провайдера, «сбежать» с этого оплаченного им «участка» и «переехать» на другую виртуальную машину, работающую в том же окружении.

Кроме того, этот баг может помешать работе, связанной с тестированием вредоносного ПО. В большинстве случаев ИБ-аналитики, занимающиеся исследованием зловредов, временно заражают виртуальные машины вредоносными программами и наблюдают, как действует зловред в безопасной карантинной среде. Из-за VENOM подобный зловред, грубо говоря, может «сбежать» из карантина.

Как было сказано ранее, это весьма старый баг. Содержится он в виртуальном контроллере флоппи-диска, имеющемся в некоторых платформах виртуализации. Да-да, флоппи-диска. Приглашаем всех поделиться в комментариях информацией о том, когда вы в последний раз им пользовались или хотя бы видели рабочий компьютер с соответствующим приводом.

В одном из интервью, опубликованном перед записью подкаста, Камински рассказал обозревателю Threatpost Деннису Фишеру, что в целом эксплуатация VENOM предполагает внесение некоторой оплаты. Атакующий должен купить пространство в облаке у сервис-провайдера, а затем эксплуатировать VENOM с целью получения привилегий для доступа к облачному окружению жертвы, пользующейся услугами того же провайдера. Некоторые облачные провайдеры, как объяснил Камински, предлагают усиленную аппаратную защиту для обеспечения изоляции аккаунта за дополнительную плату. Чтобы избежать возможных атак, стоит воспользоваться этим предложением, посоветовал он.

VENOM, название которого расшифровывается как Virtualized Environment Neglected Operations Manipulation, был обнаружен Джейсоном Геффнером (Jason Geffner), старшим исследователем информационной безопасности в CrowdStrike.

Мы, пользователи, никак не можем защитить себя от данного бага. Все, что нам остается, — это ждать, что провайдеры облачных сервисов и решений виртуализации справятся с этой проблемой. Кстати, есть две хорошие новости. Во-первых, многие компании, в продуктах которых присутствует уязвимость, уже выпустили соответственные патчи. А во-вторых, уязвимость, похоже, не так легко использовать на практике, чем казалось ранее.

С точки зрения интернет-пользователя, из этой истории можно вынести единственный важный урок: сегодня, в 2015 году, виртуализация используется повсеместно.

Советы