info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

آسیب‌پذیری venom

نام این آسیب‌پذیری برگرفته از حروف آغازین عبارت Virtualized Environment Neglected Operations Manipulation بوده و به مفهوم دستکاری بخش مورد غفلت واقع شده‌ای است که در اغلب مجازی‌سازها مورد استفاده قرار می‌گیرد. این بخش، کنترلر دیسک‌های فلاپی مجازی در امولاتور متن باز QEMU است.

این آسیب‌پذیری یکی از جدی‌ترین آسیب‌پذیری‌های کشف شده در نرم‌افزارهای مجازی‌ساز است و با سوء‌استفاده از آن می‌توان به ماشین‌هایی که به‌صورت مجازی پیاده‌سازی شده‌اند، نفوذ کرد.

برای سوء‌استفاده از این آسیب‌پذیری بایستی نفوذگر به یکی از ماشین‌های مجازی دسترسی root داشته باشد. پس از آن نفوذگر می‌تواند با سوء‌استفاده از آسیب‌پذیری، کنترل سایر ماشین‌های مجازی موجود بر روی میزبان اصلی را به‌دست آورد. به‌عنوان مثال، نفوذگر می‌تواند ابتدا سعی در یافتن یک ماشین نا امن نموده و آن را تسخیر نماید. سپس به‌سادگی خواهد توانست سایر ماشین‌های امن موجود بر روی میزبان اصلی را نیز تسخیر نماید. اجاره نمودن یک ماشین مجازی، جالب‌ترین راه برای نفوذ به تعداد زیادی ماشین مجازی است.

مجازی‌سازهای Xen، KVM و Oracle از جمله مجازی‎سازهای آسیب‌پذیر بوده که از کنترلر فوق استفاده نموده‌اند. مجازی‌سازهای VMWare، Microsoft Hyper-V و Bochs hypervisors دارای آسیب‌پذیری فوق نمی‌باشند. فعال بودن یا غیرفعال بودن دیسک فلاپی مجازی در ماشین مجازی، تاثیری بر روند سوء‌استفاده از آسیب‌پذیری ندارد.

راه حل برطرف نمودن آسیب‌پذیری، اعمال به‌روزرسانی و سپس بازنشانی است. البته بایستی توجه نمود که علاوه‌بر به‌روزرسانی و بازنشانی خود مجازی‌سازها، بایستی تمامی سرویس‌دهنده‌های لینوکسی که QEMU بر روی آن‌ها نصب شده است نیز باید به‌روزرسانی و بازنشانی شوند.

شایان ذکر است که انجام بازنشانی پس از به‌روزرسانی الزامی است. این امر برای سرویس‌دهندگان بزرگ که با صرف هزینه بسیار برای مدت زمان طولانی سرورهای خود را بازنشانی ننموده‌اند، ابداً خوشایند نیست و به‌همین دلیل در وب‌سایت http://www.venomfix.com روشی برای دور زدن بازنشانی در حالت‌های خاص پیشنهاد شده است. در این حالت، کل سیستم بازنشانی نمی‌گردد و تنها برای مدت زمانی کمتر از یک دقیقه سیستم قفل شده و سپس به‌حالت عادی برمی‌گردد.

جزئیات آسیب‌پذیری و نحوه سوء‌استفاده از آن در وبلاگ کاشف آسیب‌پذیری با آدرس http://blog.crowdstrike.com/venom-vulnerability-details قابل دسترسی است.

در انتها برای سهولت، وصله‌ها و توصیه‌های منتشر شده مرتبط با آسیب‌پذیری Venom توسط سازندگان مختلف فهرست شده است: