La sécurité des données de cloud menacée par « VENOM »
une vulnérabilité zero-day qui permet l’évasion de machines virtuelles
Des chercheurs du cabinet de sécurité CrowdStrike ont découvert une vulnérabilité qui pourrait toucher des millions de machines hébergées dans les centres de données à travers le monde. La vulnérabilité baptisée « VENOM » – un acronyme pour « Virtualized Environment Neglected Operations Manipulation » – permet à un attaquant de sortir d’une machine virtuelle et d’infiltrer chacune des autres machines de la plateforme de virtualisation. Ce type d’attaque est connu sous le nom d’évasion de machine virtuelle.
Le fait est que les machines virtuelles (VM) d’un même hyperviseur ou plateforme de virtualisation sont autorisées à partager les ressources de la machine hôte, mais tout en fournissant l'isolation entre les différentes VM et l'hôte. L’isolation permet d’empêcher la communication entre les programmes exécutés sur un système invité donné et ceux qui sont exécutés sur les autres VM ou encore sur la machine hôte.
Lorsque l’isolation entre les VM est compromise, l’attaque la plus grave est l'évasion de machine virtuelle dans laquelle un programme s'exécutant dans une VM est capable de contourner l'hyperviseur et obtenir l'accès à la machine hôte. La machine hôte étant la racine, le programme qui a obtenu l'accès acquiert les privilèges administrateur. Il devient alors facile pour ce programme d’accéder à l’ensemble des machines de la plateforme de virtualisation et aux appareils connectés au réseau de centre de données.
Ce n’est pas la première vulnérabilité d’évasion de VM découverte à ce jour, mais VENOM s’avère être une menace particulièrement grave par rapport aux précédentes, expliquent les chercheurs.
« La plupart des vulnérabilités d'évasion de VM découvertes dans le passé étaient uniquement exploitables dans des configurations non par défaut ou dans des configurations qui ne seraient pas utilisées dans des environnements sécurisés. D'autres vulnérabilités d'évasion de VM s'appliquaient seulement à une seule plateforme de virtualisation, ou ne permettaient pas directement l'exécution de code arbitraire. VENOM (CVE-2015-3456) est unique en ce qu'il s'applique à un large éventail de plateformes de virtualisation, fonctionne sur les configurations par défaut, et permet l'exécution directe de code arbitraire», ont-ils expliqué.
La faille existe depuis 2004, mais semble ne pas encore avoir été exploitée. VENOM est le résultat d'un bogue débordement de tampon dans le Virtual Floppy Disk Controller de QEMU, qui est utilisé dans une variété de plateformes de virtualisation.
La faille affecte les plateformes de virtualisation modernes, telles que Xen, KVM et VirtualBox d'Oracle. « Des millions de machines virtuelles utilisent l'une de ces plateformes vulnérables », a déclaré Jason Geffner de CrowdStrike, le chercheur qui a trouvé la faille. Il faut également noter que VMware, Hyper-V de Microsoft et les hyperviseurs Bochs ne sont pas affectés par cette vulnérabilité.
CrowdStrike a travaillé avec les fabricants des logiciels vulnérables pour les aider à corriger le bogue avant de le rendre public. À ce jour, des correctifs sont disponibles pour le projet Xen et le projet QEMU. Red Hat a également publié des patchs pour corriger ses systèmes. Quant à Oracle, ils prévoient une « version de maintenance de VirtaulBox 4.3 » très bientôt tout en indiquant que seulement une minorité de leurs utilisateurs pourrait être affectée.
Il faut aussi noter que la plupart des systèmes vulnérables seront automatiquement patchés, mais il existe bon nombre d’entreprises qui exécutent des systèmes qui ne prennent pas en charge la mise à jour automatique.
Pour ceux qui seront également dans l’incapacité de patcher leurs logiciels vulnérables, CrowdStrike propose des solutions de contournement qui permettent de limiter ou éliminer complètement l’impact de la menace. Il s’agit notamment de configurations à effectuer sur les machines virtuelles.
Source : Avis de sécurité de CrowdStrike
Et vous ?
Qu’en pensez-vous ?
Faites-vous assez confiance à la sécurité des données hébergées dans le cloud ?
Partager