Le soluzioni di VPS (Server Virtuale Privato) ed hosting condiviso sono tra le più diffuse tra chi cerca un buon compromesso tra qualità e prezzo, ed entrambe hanno un punto che le accomuna: il server, quello reale, esegue più sistemi operativi in parallelo sullo stesso hardware grazie ad un sofisticato meccanismo regolato per la maggiore da un software definito “hypervisor”. Di norma tutti i sistemi operativi presenti sul server fisico, pur restando entità separate, ne condividono le risorse.
E’ proprio su questo aspetto che la neo-scoperta vulnerabilità “Venom” va ad agire: come il nome stesso lascia intendere – “Venom” sta per “Virtualized Environment Neglected Operations Manipulation” – un sistema che ne cade vittima può permettere ad un utente non autorizzato di accedere alle risorse dell’intero hypervisor presente sul server e, potenzialmente, di qualsiasi risorsa connessa in rete nel datacenter.
Questa vulnerabilità trova radice in un controller virtuale per floppy disk che, ricevuto un codice scritto ad-hoc, è in grado di mandare in crash l’hypervisor permettendo al possessore di una macchina virtuale di eludere la sicurezza e di accedere a tutte le altre macchine virtuali gestite dall’hypervisor stesso.
Il bug risale al 2004 ed è stato inizialmente rilevato nell’emulatore open source QEMU, tuttavia il medesimo controller legacy viene utilizzato anche da moderne piattaforme di virtualizzazione come Xen, KVM e Virtualbox. Immuni al problema invece Bochs, VMWare e Hyper-V di Microsoft.
Milioni di macchine virtuali usano una delle piattaforme virtuali
ha affermato Jason Geffner, il ricercatore che ha scoperto il bug, che continua puntualizzando quanto Venom possa essere più pericoloso di Heartbleed:
Heartbleed permette ad un avversario di guardare attraverso la finestra di una casa ed ottenere informazioni basandosi su ciò che vede. Venom permette ad una persona di invadere una casa e tutte quelle presenti nel vicinato.
Geffner ha tuttavia sottolineato di aver lavorato con le software house aiutando la messa a punto di una patch prima di parlare pubblicamente di Venom, tant’è che sia Oracle (VirtualBox) che la Linux Foundation (Xen) hanno affermato di essere al corrente del problema e di essere corsi ai ripari; in particolare, Oracle ha dichiarato che un rilascio di manutenzione per il branch 4.3 di Virtualbox – programmato a breve – risolverà questo roblema, specificando comunque che
A parte ciò, soltanto pochi utenti [di Virtualbox] dovrebbero essere affetti [dalla vulnerabilità] poiché l’emulazione del floppy è disattivata per la maggior parte delle configurazioni standard delle macchine virtuali.
Insomma, Venom è effetttivamente molto più pericoloso di Heartbleed ma estremamente più semplice da arginare; la nostra raccomandazione è quella di tenere i sovracitati software (incluso QEMU) aggiornati alle ultime versioni e, nel caso l’infrastruttura non permettesse per qualche ragione gli aggiornamenti automatici, di monitorare i server e di contattare quanto prima l’assistenza dell’hypervisor in uso.