Virtuele floppydrive zorgt voor ernstig lek in virtual machines

[Captain Kirk]

Onderzoekers hebben een elf jaar oud en ernstig beveiligingslek in verschillende virtualisatieplatformen ontdekt, waardoor een aanvaller uit virtual machines kan ontsnappen. De kwetsbaarheid heeft van beveiligingsbedrijf Crowdstrike de naam "Venom" gekregen en bevindt zich in de virtuele floppydiskcontroller (FDC) van QEMU. QEMU, wat staat voor Quick Emulator, is gratis en open source virtualisatiesoftware.

De kwetsbare code wordt door verschillende virtualisatieplatformen en appliances gebruikt, waaronder Xen, KVM en de QEMU client. Populaire virtualisatiesoftware zoals VMware, Microsoft Hyper-V en Bochs hypervisor is niet kwetsbaar. Via de kwetsbaarheid zou een aanvaller uit de virtual machine kunnen ontsnappen om vervolgens, al dan niet via andere virtual machines, toegang tot het netwerk te krijgen. Hoewel floppydisks al lang niet meer worden gebruikt, zouden veel virtualisatieoplossingen standaard van een virtuele floppydrive worden voorzien.

Door het Venom-lek aan te vallen kunnen aanvallers volgens Crowdstrike toegang tot intellectueel eigendom van bedrijven krijgen, alsmede gevoelige en persoonlijke identificeerbare informatie. Mogelijk zouden duizenden organisaties en miljoenen gebruikers die van de kwetsbare virtual machines gebruik maken risico lopen. Het lek zou sinds 2004 in de code aanwezig zijn. Toch zijn er nog geen aanvallen in het wild waargenomen. Om de aanval uit te voeren moet een aanvaller of malware over root- of beheerdersrechten in het gastsysteem beschikken.

Voor het QEMU Project, Xen Project en Red Hat zijn er inmiddels beveiligingsupdates uitgekomen. Een andere oplossing is het configureren van de virtual machine hypervisor op een bepaalde manier, wat de impact van de kwetsbaarheid kan beperken of zelfs helemaal kan voorkomen. Iets wat Crowdstrike in de advisory uitlegt.

 

bron: security.nl