Le nom est fait pour intimider. VENOM, venin en anglais. Derrière cet acronyme qui signifie Virtualized Environment Neglected Operations Manipulation (que l’on pourrait traduire par manipulation d’une fonction obsolète dans un environnement virtualisé) se cache une vulnérabilité découverte par un expert en sécurité de la société CrowdStrike. Jason Geffner a donc trouvé une faille de type zero day en menant une analyse de sécurité sur différentes hyperviseurs.
Le coupable est l’hyperviseur Open Source QEMU (Quick Emulator) et plus exactement dans le contrôleur de disquette virtuelle (floppy disk controller). Cette fonction existe depuis 2004 et elle présente par défaut sur les hyperviseurs KVM, Xen ainsi que sur Oracle VirtualBox. Cela représente une surface d’attaques de plusieurs millions de machines virtuelles qui tournent aujourd’hui dans le monde, sur des serveurs, des appliances ou dans le Cloud. La faille est considérée comme critique pouvant mettre à genoux des fournisseurs de Cloud ou des datacenters d’entreprises.
Pour Jason Geffner, Venom est unique, car elle touche plusieurs types de plateformes de virtualisation (à l’exception de VMware et Hyper-V), elle est agnostique sur les OS (Linux, Windows, Mac OS, etc) et elle permet d’exécuter directement du code arbitraire dans la VM.
Concrètement, CrowdStrike explique que l’OS invité (guest) communique avec le FDC (Floppy Disk Controller) en envoyant des commandes telles que rechercher, lire, écrire, format, etc., au port d’entrée / sortie du contrôleur. Le FDC virtuel de QEMU s’appuie sur une mémoire tampon de capacité fixe pour stocker les commandes et les paramètres associés. Après chaque commande, cette mémoire est effacée à l’exception de deux commandes prédéfinies. Dès lors, un attaquant peut envoyer des commandes particulières pour déborder cette mémoire tampon et exécuter du code malveillant dans l’hyperviseur. (cf schéma ci-dessous).
Avec la découverte de VENOM, les rapprochements avec Heartbleed (faille dans la librairie de chiffrement OpenSSL) n’ont pas manqué. Jason Geffner a indiqué à nos confrères de Zdnet que « Heartbleed permettait à un attaquant de regarder à travers la fenêtre d’une maison et de recueillir des informations sur la base de ce qu’ils voient. Venom permet de tout casser dans la maison, mais aussi de détruire les maisons du voisinage ».
Le point commun avec Heartbleed est que Venom pose une nouvelle fois la question de la sécurité du code des solutions Open Source. Avec Heartbleed, des fonds ont été alloués par les grands acteurs IT pour mener des audits et améliorer la sécurité des projets Open Source.
A lire aussi :
Heartbleed : un an après, la faille est tombée dans l’oubli
Après Heartbleed et Shellshock : une faille touche SSL 3.0
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
