IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

La sécurité des données de cloud menacée par « VENOM », une vulnérabilité d'évasion de machine virtuelle


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Data Consultant
    Inscrit en
    Juillet 2013
    Messages
    2 958
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Data Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juillet 2013
    Messages : 2 958
    Points : 88 588
    Points
    88 588
    Billets dans le blog
    2
    Par défaut La sécurité des données de cloud menacée par « VENOM », une vulnérabilité d'évasion de machine virtuelle
    La sécurité des données de cloud menacée par « VENOM »
    une vulnérabilité zero-day qui permet l’évasion de machines virtuelles

    Des chercheurs du cabinet de sécurité CrowdStrike ont découvert une vulnérabilité qui pourrait toucher des millions de machines hébergées dans les centres de données à travers le monde. La vulnérabilité baptisée « VENOM » – un acronyme pour « Virtualized Environment Neglected Operations Manipulation » – permet à un attaquant de sortir d’une machine virtuelle et d’infiltrer chacune des autres machines de la plateforme de virtualisation. Ce type d’attaque est connu sous le nom d’évasion de machine virtuelle.

    Le fait est que les machines virtuelles (VM) d’un même hyperviseur ou plateforme de virtualisation sont autorisées à partager les ressources de la machine hôte, mais tout en fournissant l'isolation entre les différentes VM et l'hôte. L’isolation permet d’empêcher la communication entre les programmes exécutés sur un système invité donné et ceux qui sont exécutés sur les autres VM ou encore sur la machine hôte.

    Lorsque l’isolation entre les VM est compromise, l’attaque la plus grave est l'évasion de machine virtuelle dans laquelle un programme s'exécutant dans une VM est capable de contourner l'hyperviseur et obtenir l'accès à la machine hôte. La machine hôte étant la racine, le programme qui a obtenu l'accès acquiert les privilèges administrateur. Il devient alors facile pour ce programme d’accéder à l’ensemble des machines de la plateforme de virtualisation et aux appareils connectés au réseau de centre de données.

    Ce n’est pas la première vulnérabilité d’évasion de VM découverte à ce jour, mais VENOM s’avère être une menace particulièrement grave par rapport aux précédentes, expliquent les chercheurs.

    « La plupart des vulnérabilités d'évasion de VM découvertes dans le passé étaient uniquement exploitables dans des configurations non par défaut ou dans des configurations qui ne seraient pas utilisées dans des environnements sécurisés. D'autres vulnérabilités d'évasion de VM s'appliquaient seulement à une seule plateforme de virtualisation, ou ne permettaient pas directement l'exécution de code arbitraire. VENOM (CVE-2015-3456) est unique en ce qu'il s'applique à un large éventail de plateformes de virtualisation, fonctionne sur les configurations par défaut, et permet l'exécution directe de code arbitraire», ont-ils expliqué.

    La faille existe depuis 2004, mais semble ne pas encore avoir été exploitée. VENOM est le résultat d'un bogue débordement de tampon dans le Virtual Floppy Disk Controller de QEMU, qui est utilisé dans une variété de plateformes de virtualisation.

    La faille affecte les plateformes de virtualisation modernes, telles que Xen, KVM et VirtualBox d'Oracle. « Des millions de machines virtuelles utilisent l'une de ces plateformes vulnérables », a déclaré Jason Geffner de CrowdStrike, le chercheur qui a trouvé la faille. Il faut également noter que VMware, Hyper-V de Microsoft et les hyperviseurs Bochs ne sont pas affectés par cette vulnérabilité.

    CrowdStrike a travaillé avec les fabricants des logiciels vulnérables pour les aider à corriger le bogue avant de le rendre public. À ce jour, des correctifs sont disponibles pour le projet Xen et le projet QEMU. Red Hat a également publié des patchs pour corriger ses systèmes. Quant à Oracle, ils prévoient une « version de maintenance de VirtaulBox 4.3 » très bientôt tout en indiquant que seulement une minorité de leurs utilisateurs pourrait être affectée.

    Il faut aussi noter que la plupart des systèmes vulnérables seront automatiquement patchés, mais il existe bon nombre d’entreprises qui exécutent des systèmes qui ne prennent pas en charge la mise à jour automatique.

    Pour ceux qui seront également dans l’incapacité de patcher leurs logiciels vulnérables, CrowdStrike propose des solutions de contournement qui permettent de limiter ou éliminer complètement l’impact de la menace. Il s’agit notamment de configurations à effectuer sur les machines virtuelles.


    Source : Avis de sécurité de CrowdStrike

    Et vous ?

    Qu’en pensez-vous ?

    Faites-vous assez confiance à la sécurité des données hébergées dans le cloud ?

  2. #2
    Membre chevronné Avatar de nirgal76
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Septembre 2007
    Messages
    913
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Septembre 2007
    Messages : 913
    Points : 2 152
    Points
    2 152
    Par défaut
    bref,les outils opensources sont touchés mais pas les proprios...A méditer

  3. #3
    Nouveau membre du Club
    Homme Profil pro
    Étudiant
    Inscrit en
    Février 2015
    Messages
    9
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Février 2015
    Messages : 9
    Points : 26
    Points
    26
    Par défaut
    Citation Envoyé par nirgal76 Voir le message
    bref,les outils opensources sont touchés mais pas les proprios...A méditer
    Qui te dit que les logiciels proprios ne sont pas atteints de failles similaires, voire plus graves, qui n'ont pas encore été découvertes ?

    Au moins le fait que ces logiciels soient Open Source a permit la découverte et donc la correction de cette faille.

    À méditer...

  4. #4
    Futur Membre du Club
    Homme Profil pro
    Collégien
    Inscrit en
    Septembre 2013
    Messages
    10
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 56
    Localisation : France

    Informations professionnelles :
    Activité : Collégien

    Informations forums :
    Inscription : Septembre 2013
    Messages : 10
    Points : 9
    Points
    9
    Par défaut Marketing des failles ... FUD ?
    C'est quoi cette manie de donner un nom à des failles, si ce n'est que par pur FUD anti-FOSS ?
    Pour rappel ;
    Faille Heartbleed
    - Howard A. Schmidt, ancien patron de la "sécurité" chez M$ est actuellement le patron de Codenomicon, laquelle société a piqué puis marqueté en Heartbleed+logo la découverte faite par des chercheurs de Google deux années auparavant.
    Faille Venom
    - Amol Kulkarni, ancien "Microsoft Bing Engineering Leader" est désormais le vice-président "Engineering" de CrowdStrike depuis moins d'un semestre.
    - Mike Convertino, ancien responsable de la sécurité réseau chez M$ est désormais responsable du "CrowdStrike Security Operations Center".
    Il faut bien deux anciennes huiles de chez M$ pour que CrowdStrike crée à son tour sa faille Venom avec le petit logo qui va bien !

    Mais ce ne sont que des coïncidences... ne sombrons pas dans la conspiration !

  5. #5
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Inscrit en
    Avril 2013
    Messages
    1 476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2013
    Messages : 1 476
    Points : 4 806
    Points
    4 806
    Billets dans le blog
    6
    Par défaut
    mais qui utilise encore des disquettes sur VM ?

  6. #6
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    Novembre 2010
    Messages
    3 038
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : Novembre 2010
    Messages : 3 038
    Points : 8 405
    Points
    8 405
    Par défaut
    Citation Envoyé par nirgal76 Voir le message
    bref,les outils opensources sont touchés mais pas les proprios...A méditer
    c'est pas la première fois que le remarque, y'a _beaucoup_ de gens sur ces forums qui ne comprennent rien du tout à la sécurité informatique et semblent persuadés de savoir au titre qu'ils connaissent la programmation ou un pan xyz de l'informatique

    un des principes élémentaires est que la sécurité par l'opacité n'est pas valable, comme l'a souligné justement iTruc

    je suis également d'accord avec la remarque de CrayXMP, donner des petits noms à certaines failles est un effet de manche, en l'occurrence "VENOM" s'appelle aussi plus sobrement CVE-2015-3456 et c'est loin d'être la seule faille dans QEMU, mais lui donner un nom de superhéro ou d'opération militaire américaine permet d'être relayée par la presse "moyennement voire peu spécialisée" et à Mme Michu de mieux focaliser sur une information qui n'a pourtant rien de sensationnel et est le pain quotidien des experts en sécurité

  7. #7
    Membre chevronné Avatar de nirgal76
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Septembre 2007
    Messages
    913
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Septembre 2007
    Messages : 913
    Points : 2 152
    Points
    2 152
    Par défaut
    Citation Envoyé par BufferBob Voir le message
    c'est pas la première fois que le remarque, y'a _beaucoup_ de gens sur ces forums qui ne comprennent rien du tout à la sécurité informatique et semblent persuadés de savoir au titre qu'ils connaissent la programmation ou un pan xyz de l'informatique
    un des principes élémentaires est que la sécurité par l'opacité n'est pas valable, comme l'a souligné justement iTruc
    Je commente simplement cet article et donc sur cet évènement précis, c'est un fait. Je recite l'article pour les mal voyants :
    La faille affecte les plateformes de virtualisation modernes, telles que Xen, KVM et VirtualBox d'Oracle....Il faut également noter que VMware, Hyper-V de Microsoft et les hyperviseurs Bochs ne sont pas affectés par cette vulnérabilité.

  8. #8
    Membre averti Avatar de Citrax
    Homme Profil pro
    Chargé d'affaire
    Inscrit en
    Juin 2014
    Messages
    188
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Chargé d'affaire
    Secteur : Conseil

    Informations forums :
    Inscription : Juin 2014
    Messages : 188
    Points : 387
    Points
    387
    Par défaut
    DOnc en fait si on suit vos raisonnement, ya pas de quoi s'inquieter !? C'est juste de la poudre au yeux toute cette histoire ?

    M'enfin le cloud reste une passoire nuageuse, on est bien d'accord ?

  9. #9
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    Novembre 2010
    Messages
    3 038
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : Novembre 2010
    Messages : 3 038
    Points : 8 405
    Points
    8 405
    Par défaut
    Citation Envoyé par nirgal76 Voir le message
    c'est un fait. Je recite l'article pour les mal voyants
    j'ignorais que Bochs était proprio, merci donc de cette précision et de la justesse de cette analyse

  10. #10
    Membre chevronné
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2009
    Messages
    1 048
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : Suisse

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Finance

    Informations forums :
    Inscription : Avril 2009
    Messages : 1 048
    Points : 2 201
    Points
    2 201
    Par défaut
    mais qui utilise encore des disquettes sur VM ?
    Dans le cadre d'un cloud, il serait possible de louer une VM et d'y installer sciemment ce lecteur et le virus uniquement dans le but d'infecter les VM des autres clients.

    La news rappelle néanmoins que dans ces infrastructures cloud, on est non seulement tributaire du fournisseur pour la sécurité mais aussi, dans une moindre mesure, des autres clients.

  11. #11
    Membre averti
    Profil pro
    Inscrit en
    Octobre 2010
    Messages
    184
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Octobre 2010
    Messages : 184
    Points : 409
    Points
    409
    Par défaut
    Citation Envoyé par BufferBob Voir le message
    un des principes élémentaires est que la sécurité par l'opacité n'est pas valable, comme l'a souligné justement iTruc
    La sécurité par l'opacité n'est évidement pas valable si et seulement si elle est le seul moyen d'y parvenir.

    En fait ce débat n'a même pas lieu d’être il n'y absolument rien qui prouve que les failles découvertes dans des logiciels open-source ont été plus ou moins exploités avant leurs découvertes que ce celles des logiciels proprio. Bref, il y a des tonnes de raisons de s'orienter vers du proprio ou de l'open source, mais la sécurité n'en est pas une.

    Les hackers blackhat et whitehat ont les mêmes outils et techniques pour trouver les failles que le logiciel soit proprio ou non. Dans un cas il reverseront le programme, dans l'autre ils analyseront le code. En fait le facteur principal qui va faire que les failles vont être plus ou moins exploités c'est la proportion de white/black hat qui cherchent les failles et en second la réactivité des développeurs pour les combler et distribuer le patch.

  12. #12
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Data Consultant
    Inscrit en
    Juillet 2013
    Messages
    2 958
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Data Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juillet 2013
    Messages : 2 958
    Points : 88 588
    Points
    88 588
    Billets dans le blog
    2
    Par défaut VENOM : Oracle publie des patchs de sécurité pour corriger la faille
    VENOM : Oracle publie des patchs de sécurité pour corriger la faille
    Qui permet l’évasion de machine virtuelle

    VENOM, la faille de sécurité récemment publiée par le chercheur Jason Geffner de CrowdStrike n’a pas eu le temps de semer la panique avant que les éditeurs de produits affectés ne publient des correctifs.

    Si la vulnérabilité a d’abord été communiquée secrètement aux éditeurs de produits affectés, Oracle n’a cependant pas eu le temps de livrer des mises à jour de sécurité au moment de sa divulgation. Toutefois, après que l’éditeur de logiciels l’ait promis lors de la divulgation de la vulnérabilité, une mise à jour de sécurité est disponible pour la petite partie de ses utilisateurs qui pourrait être affectée par la faille.

    Pour rappel, VENOM serait le résultat d’un débordement de mémoire dans le Virtual Floppy Disk Controller (FDC) de QEMU. Sur une plateforme de virtualisation, la vulnérabilité peut être exploitée par un acteur malveillant pour s’évader d’un système d’exploitation invité et avoir le contrôle du système hôte. La machine hôte étant la racine, l’attaquant acquiert des privilèges administrateur, qu’il pourrait utiliser pour accéder à l’ensemble des machines de la plateforme de virtualisation et aux appareils connectés au réseau de centre de données.

    Pour exploiter cette vulnérabilité à distance, un attaquant a nécessairement besoin d’un mot de passe et d’un nom utilisateur. Mais si l’exploitation est réussie, les dommages peuvent être énormes, étant donné que l’attaquant pourra accéder aux autres machines de la plateforme.

    La vulnérabilité affecte plusieurs plateformes de virtualisation dont certains produits Oracle. Les patchs pour le projet Xen et le projet QEMU étaient déjà disponibles au moment de la publication de la vulnérabilité ; Red Hat a également publié des mises à jour de sécurité pour corriger ses systèmes. Et maintenant, les utilisateurs des produits Oracle vulnérables pourront bénéficier de leurs mises à jour.

    Les produits de l’éditeur qui sont vulnérables sont le VirtualBox pour les versions 3.2, 4.0, 4.1, 4.2, et les versions 4.3 antérieures à 4.3.28. Les versions 2.2, 3.2 et 3.3 d’Oracle VM sont également affectées ainsi que les produits Oracle Linux 5, 6 et 7. Oracle a publié un patch pour ces différents produits, dans une alerte de sécurité.

    « En raison de la gravité de cette vulnérabilité, Oracle recommande fortement à ses clients d'appliquer les mises à jour fournies par cette alerte de sécurité dès que possible. » A avertit Eric Maurice d’Oracle, en annonçant la disponibilité de la mise à jour de sécurité sur le site de la société.

    En savoir plus sur la mise de sécurité et les informations d’installation.

    Source : Eric Maurice via le Blog Oracle

Discussions similaires

  1. Sécurité des données par l'url
    Par helkøwsky dans le forum Langage
    Réponses: 2
    Dernier message: 07/04/2010, 14h00
  2. [Sécurité] Sécurité des données dans $_SESSION
    Par dinozor29 dans le forum Langage
    Réponses: 2
    Dernier message: 18/06/2007, 00h19
  3. Sécurité des données
    Par DevloNewb' dans le forum Langage
    Réponses: 6
    Dernier message: 03/03/2007, 10h28
  4. [Mail] Renvoi des données d'un formulaire par mail
    Par ox@na dans le forum Langage
    Réponses: 6
    Dernier message: 11/01/2007, 23h02
  5. [Conception] Sécurité des données d'une base
    Par viny dans le forum PHP & Base de données
    Réponses: 16
    Dernier message: 27/12/2006, 00h10

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo