Venom : Hype marketing ou réelle menace, les experts en sécurité divisés

CloudDatacentersLogicielsOpen SourcePolitique de sécuritéSécuritéVirtualisation
2 14 Donnez votre avis

Une faille dans un contrôleur de disquette virtuelle, nommée Venom, a semé l’émoi en s’attaquant à certains hyperviseurs. Les spécialistes de la sécurité restent cependant plus mesurés sur son impact.

Mercredi, une société CrowdStrike rendait public une faille nommée Venom (venin) qui s’attaquait aux hyperviseurs Xen, KVM, QEMU et VirtualBox d’Oracle. La vulnérabilité se trouve dans une fonction de contrôleur de disquette virtuelle qui est présente par défaut dans les hyperviseurs cités précédemment. La firme de sécurité comparait Venom à Heartbleed en pire, car diffusable sur les appliances, les serveurs et les services Cloud.

Après l’annonce, les experts en sécurité se sont bien évidement emparés de l’affaire pour l’analyser et exprimer leur sentiment. Et le moins que l’on puisse dire est que les avis sont contrastés comme l’indique nos confrères de The Register. « C’est sérieux, mais pas autant que Heartbleed », explique Karl Stiegler, responsable de Trustwave. « Il n’y a pas d’attaques exploitée activement et des patchs sont disponibles. » La surface d’attaque est aussi à relativiser en ne touchant pas les hyperviseurs de VMware et Microsoft, ni les instances du leader du Cloud public AWS. Ce dernier a publié une note de sécurité indiquant ne pas être vulnérable à cette faille.

Même son de cloche pour Patrick Wardle, ancien de la NSA et de la NASA, à la tête de la firme de sécurité Synack. « Est-ce le prochain Heartbleed ? C’est peu probable. Heartbleed était une attaque à distance et pouvait cibler n’importe qui, n’importe quand. Venom requiert l’exécution de code sur une VM, cela ne se fait pas à distance. Enfin, Heartbleed touchait un plus large éventail de serveurs et de clients, et laisser la responsabilité du correctif aux utilisateurs. »

Quelques nuances et correctif pour les fournisseurs de Cloud

Wolfgang Kandek, CTO de Qualys, ne partage pas l’analyse de Patrick Wardle sur la facilité de corriger Venom. Un prototype d’attaque en utilisant la faille CVE-2015-3456 a déjà été découvert, souligne Robert Graham sur le blog Errata Security. Pour ce dernier, « ce bug est une élévation de privilèges sur l’hyperviseur. Il est parfait pour la NSA et récupérer des Bitcoins, porte-monnaie électronique, clés d’authentification forte RSA, forum de mots de passe ». S’il égratigne au passage la mise en scène de CrowdStrike qui a repris la pagination de la faille Heartbleed et un logo très campagne marketing, Robert Graham termine son post en indiquant qu’il s’agit d’un bug sérieux.

Pour Tod Beardsley de la société Rapid7, « les personnes les plus affectées par Venom sont les fournisseurs de Cloud et les clients ». Sauf que les hébergeurs ne sont pas souvent très réactifs à l’idée de rebooter leurs services pour corriger une vulnérabilité. On se souvient de la planification d’interruption de services pour réparer des bugs dans Xen.

Plusieurs fournisseurs de Cloud sont intervenus ces deux derniers jours pour rassurer leurs clients. Rackspace considère que Venom « affecte une petite partie des configurations de serveurs First et Next Generation. Un correctif a été mis en place sur l’infrastructure de Rackspace, mais pour être effectif les machines virtuelles doivent être rebootées par les clients ou par Rackspace ». Idem du côté de Digital Ocean qui propose des instances low cost et qui a indiqué qu’ « un petit nombre de VM devront être réactivées ».

A lire aussi :

Google va payer les développeurs améliorant la sécurité des logiciels open source
OpenSSL met au jour sa politique d’annonces des vulnérabilités

Crédit Photo : XYZ-Shutterstock

Lire la biographie de l´auteur  Masquer la biographie de l´auteur