نام این آسیبپذیری برگرفته از حروف آغازین عبارت Virtualized Environment Neglected Operations Manipulation بوده و به مفهوم دستکاری بخش مورد غفلت واقع شدهای است که در اغلب مجازیسازها مورد استفاده قرار میگیرد. این بخش، کنترلر دیسکهای فلاپی مجازی در امولاتور متن باز QEMU است.
این آسیبپذیری یکی از جدیترین آسیبپذیریهای کشف شده در نرمافزارهای مجازیساز است و با سوءاستفاده از آن میتوان به ماشینهایی که بهصورت مجازی پیادهسازی شدهاند، نفوذ کرد.
برای سوءاستفاده از این آسیبپذیری بایستی نفوذگر به یکی از ماشینهای مجازی دسترسی root داشته باشد. پس از آن نفوذگر میتواند با سوءاستفاده از آسیبپذیری، کنترل سایر ماشینهای مجازی موجود بر روی میزبان اصلی را بهدست آورد. بهعنوان مثال، نفوذگر میتواند ابتدا سعی در یافتن یک ماشین نا امن نموده و آن را تسخیر نماید. سپس بهسادگی خواهد توانست سایر ماشینهای امن موجود بر روی میزبان اصلی را نیز تسخیر نماید. اجاره نمودن یک ماشین مجازی، جالبترین راه برای نفوذ به تعداد زیادی ماشین مجازی است.
مجازیسازهای Xen، KVM و Oracle از جمله مجازیسازهای آسیبپذیر بوده که از کنترلر فوق استفاده نمودهاند. مجازیسازهای VMWare، Microsoft Hyper-V و Bochs hypervisors دارای آسیبپذیری فوق نمیباشند. فعال بودن یا غیرفعال بودن دیسک فلاپی مجازی در ماشین مجازی، تاثیری بر روند سوءاستفاده از آسیبپذیری ندارد.
راه حل برطرف نمودن آسیبپذیری، اعمال بهروزرسانی و سپس بازنشانی است. البته بایستی توجه نمود که علاوهبر بهروزرسانی و بازنشانی خود مجازیسازها، بایستی تمامی سرویسدهندههای لینوکسی که QEMU بر روی آنها نصب شده است نیز باید بهروزرسانی و بازنشانی شوند.
شایان ذکر است که انجام بازنشانی پس از بهروزرسانی الزامی است. این امر برای سرویسدهندگان بزرگ که با صرف هزینه بسیار برای مدت زمان طولانی سرورهای خود را بازنشانی ننمودهاند، ابداً خوشایند نیست و بههمین دلیل در وبسایت http://www.venomfix.com روشی برای دور زدن بازنشانی در حالتهای خاص پیشنهاد شده است. در این حالت، کل سیستم بازنشانی نمیگردد و تنها برای مدت زمانی کمتر از یک دقیقه سیستم قفل شده و سپس بهحالت عادی برمیگردد.
جزئیات آسیبپذیری و نحوه سوءاستفاده از آن در وبلاگ کاشف آسیبپذیری با آدرس http://blog.crowdstrike.com/venom-vulnerability-details قابل دسترسی است.
در انتها برای سهولت، وصلهها و توصیههای منتشر شده مرتبط با آسیبپذیری Venom توسط سازندگان مختلف فهرست شده است:
- QEMU: http://git.qemu.org/?p=qemu.git;a=commitdiff;h=e907746266721f305d67bc0718795fedee2e824c
- Xen Project: http://xenbits.xen.org/xsa/advisory-133.html
- Red Hat: https://access.redhat.com/articles/1444903
- Citrix: http://support.citrix.com/article/CTX201078
- FireEye: https://www.fireeye.com/content/dam/fireeye-www/support/pdfs/fireeye-venom-vulnerability.pdf
- Linode: https://blog.linode.com/2015/05/13/venom-cve-2015-3456-vulnerability-and-linode/
- Rackspace: https://community.rackspace.com/general/f/53/t/5187
- Ubuntu: http://www.ubuntu.com/usn/usn-2608-1/
- Debian: https://security-tracker.debian.org/tracker/CVE-2015-3456
- SUSE: https://www.suse.com/security/cve/CVE-2015-3456.html
- DigitalOcean: https://www.digitalocean.com/company/blog/update-on-CVE-2015-3456/
- f5: https://support.f5.com/kb/en-us/solutions/public/16000/600/sol16620.html
- Joyent: https://help.joyent.com/entries/68099220-Security-Advisory-on-Venom-CVE-2015-3456-in-KVM-QEMU
- Liquid Web: http://www.liquidweb.com/kb/information-on-cve-2015-3456-qemu-vulnerability-venom/
- UpCloud: http://status.upcloud.com/incidents/tt05z2340wws
- Amazon: http://aws.amazon.com/security/security-bulletins/XSA_Security_Advisory_CVE_2015_3456/
- Oracle: http://www.oracle.com/technetwork/topics/security/alert-cve-2015-3456-2542656.html
- Barracuda Networks: https://community.barracudanetworks.com/forum/index.php?/topic/25582-cve-2015-3456-venom-vulnerability/?p=71567
- CentOS: https://www.centosblog.com/critical-qemu-vulnerability-venom-affects-xen-kvm-virtualbox-xenserver/
- Fortinet: http://www.fortiguard.com/advisory/FG-IR-15-012/
- Cisco: https://tools.cisco.com/quickview/bug/CSCuu45000
- IBM: https://www-304.ibm.com/connections/blogs/PSIRT/entry/venom_cve_2015_3456?lang=en_us
- HP: https://h20566.www2.hp.com/hpsc/doc/public/display?docId=emr_na-c04685037/font>