ChimeraRevo – Il punto di riferimento della tecnologia
menubar
Home > Guide > Venom, un nuovo 0-day fa…

Venom, un nuovo 0-day fa tremare i server

Gaetano Abatemarco Mag 14, 2015

Le soluzioni di VPS (Server Virtuale Privato) ed hosting condiviso sono tra le più diffuse tra chi cerca un buon compromesso tra qualità e prezzo, ed entrambe hanno un punto che le accomuna: il server, quello reale, esegue più sistemi operativi in parallelo sullo stesso hardware grazie ad un sofisticato meccanismo regolato per la maggiore da un software definito “hypervisor”. Di norma tutti i sistemi operativi presenti sul server fisico, pur restando entità separate, ne condividono le risorse.

venom2

E’ proprio su questo aspetto che la neo-scoperta vulnerabilità “Venom” va ad agire: come il nome stesso lascia intendere – “Venom” sta per “Virtualized Environment Neglected Operations Manipulation” – un sistema che ne cade vittima può permettere ad un utente non autorizzato di accedere alle risorse dell’intero hypervisor presente sul server e, potenzialmente, di qualsiasi risorsa connessa in rete nel datacenter.

Questa vulnerabilità trova radice in un controller virtuale per floppy disk che, ricevuto un codice scritto ad-hoc, è in grado di mandare in crash l’hypervisor permettendo al possessore di una macchina virtuale di eludere la sicurezza e di accedere a tutte le altre macchine virtuali gestite dall’hypervisor stesso.

venom

Il bug risale al 2004 ed è stato inizialmente rilevato nell’emulatore open source QEMU, tuttavia il medesimo controller legacy viene utilizzato anche da moderne piattaforme di virtualizzazione come Xen, KVM e Virtualbox. Immuni al problema invece Bochs, VMWare e Hyper-V di Microsoft.

Milioni di macchine virtuali usano una delle piattaforme virtuali

ha affermato Jason Geffner, il ricercatore che ha scoperto il bug, che continua puntualizzando quanto Venom possa essere più pericoloso di Heartbleed:

Heartbleed permette ad un avversario di guardare attraverso la finestra di una casa ed ottenere informazioni basandosi su ciò che vede. Venom permette ad una persona di invadere una casa e tutte quelle presenti nel vicinato.

Geffner ha tuttavia sottolineato di aver lavorato con le software house aiutando la messa a punto di una patch prima di parlare pubblicamente di Venom, tant’è che sia Oracle (VirtualBox) che la Linux Foundation (Xen) hanno affermato di essere al corrente del problema e di essere corsi ai ripari; in particolare, Oracle ha dichiarato che un rilascio di manutenzione per il branch 4.3 di Virtualbox – programmato a breve – risolverà questo roblema, specificando comunque che

A parte ciò, soltanto pochi utenti [di Virtualbox] dovrebbero essere affetti [dalla vulnerabilità] poiché l’emulazione del floppy è disattivata per la maggior parte delle configurazioni standard delle macchine virtuali.

Insomma, Venom è effetttivamente molto più pericoloso di Heartbleed ma estremamente più semplice da arginare; la nostra raccomandazione è quella di tenere i sovracitati software (incluso QEMU) aggiornati alle ultime versioni e, nel caso l’infrastruttura non permettesse per qualche ragione gli aggiornamenti automatici, di monitorare i server e di contattare quanto prima l’assistenza dell’hypervisor in uso.

Come creare nuove domande e risposte con Alexa

6 ore fa

Con ogni probabilità, chi possiede un dispositivo della famiglia Echo, conosce benissimo l’opzione relativa alla creazione di comandi personalizzati. In particolare, dall’applicazione per smartphone, non manca la possibilità di far dire ad Alexa tutto ciò leggi di più…

Skill personalizzate Alexa

Come ascoltare musica gratis: i migliori siti

23 ore fa

La musica riveste un ruolo importante nella vita di molte persone. Infatti, sono tante le occasioni in cui si ha bisogno di ascoltare della musica, come sono tanti i servizi a cui affidarvi. Al giorno leggi di più…

Dove ascoltare musica gratis su Internet

Come collegare Alexa al WiFi

23 ore fa

Dopo aver letto la nostra guida d’acquisto dedicata ai dispositivi Echo, avete deciso di acquistarne uno magari per ascoltare i brani preferiti su Apple Music. Ora però state cercando una guida che vi spieghi nel dettaglio come collegare Alexa al Wi-Fi così leggi di più…

Come collegare Alexa al Wi-Fi

Come vedere la posizione in classifica del Super Cashback

1 giorno fa

Insieme al Cashback di Stato, il Governo ha presentato ai cittadini il Super Cashback, ovvero un premio aggiuntivo di 1.500 euro ai 100.000 cittadini che eseguiranno più transazioni nell’arco dei sei mesi previsti per la leggi di più…

featured_img

Controller PC: i migliori da comprare nel 2021

1 giorno fa

In questa guida costantemente vi aiuteremo a scegliere il miglior controller PC perfetto per voi. Vi proporremo i migliori modelli disponibili attualmente in commercio, analizzando insieme alcuni aspetti e alcune caratteristiche da tenere in considerazione al momento leggi di più…

controller pc 2

Iscriviti alla Newsletter

Articoli recenti

  • Come creare nuove domande e risposte con Alexa
  • Come ascoltare musica gratis: i migliori siti
  • Come collegare Alexa al WiFi
  • Come vedere la posizione in classifica del Super Cashback
  • Controller PC: i migliori da comprare nel 2021
  • Chi siamo
  • Lavora con noi
  • Contattaci
  • Privacy

Copyright © 2020. Tutti i diritti riservati. ChimeraRevo SRL - P.I.: IT05544220659

Modifica impostazioni sulla privacy