Floppy Disk Denetleyici Virtualized Environment Neglected Operations Manipulation ‘ın kısaltılmışı olan VENOM, CVE-2015-3456 türkçe’ye çevirdiğimiz zaman “Sanallaştırılmış Ortamın İhmal Edilen İşlemlerini Manipüle Etme” diye adlandırabiliriz.
2004 yılından yani sanal Floopy Disk Denetleyicilerinin QEMU’nın koduna eklendiğinden beri VENOM zafiyeti sanal makine sistemlerinde bulunmaktadır.
Bu açık saldırgana sanal makinenin misafir kısmının (guest VM) sınırlarından kaçabilmeyi sağlamaktadır ayrıca kod çalıştırarak hosta (host VM) erişim sağlamasına da yardımcı olmaktadır. Sanal makinenin sınırlarından kurtulduktan sonra host sistemine ve bu hostta bulunan diğer sanal makinelere erişim sağlanabilmektedir. Bununla sınırlı kalmayıp host’un bulunduğu local ağ’a ve diğer sistemlere erişimine de sağlanabildiği saptanmıştır.
VENOM zafiyetinin exploiti (istismarı) kurumların fikri mülkiyetlerini açığa çıkartmanın yanı sıra hassas ve kişisel bilgilerinee erişilebildiği görülmüştür. Binlerce organizasyon ve milyonlarca son kullanıcı bu durumdan etkilenmektedir.
Açığı biraz daha detaylı anlatacak olursak. Misafir işletim sistemi FDC (Floppy Disk Denetleyicisi) ile seek, read, write, format gibi komutlar göndererek haberleşiyor. QEMU’nun sanal Floppy Disk Denetleyicisi sabit arabellek (buffer) kullanarak bu komutları ve bu komutlarla ilgili data parametrelerini depoluyor. Floppy Disk Denetleyicisi her komut için ne kadar data kullanılacağını tahmin ve takip ediyor daha sonra verilen komut için tahmin edilen tüm data misafir system tarafından alındığında, Floppy Disk Denetleyicisi komutu çalıştırıyor ve bir sonraki komut için arabelleği temizliyor.
Tanımlanan iki komut haricinde tüm Floppy Disk Denetleyici komutları için, yukarıda bahsettiğimizi arabelleği temizleme işlemi hızlıca gerçekleşiyor. Saldırgan tanımlanan bu komutları ve özellikle hazırlanmış parametre verilerini misafir sistem den Floppy Disk Denetleyicisine gönderebilir ve bu sayede arabellek taşmasına neden olabilir böylelikle kendi istediği kodları host’un misafir sisteminin ara katmanında çalıştırmış olur.
CrowdStrike’da Kıdemli Güvenlik Araştırmacısı olan Jason Geffner tarafından bulunan bu zafiyeti şematize edilmiş hali aşağıdaki gibidir.
Bu açık QEMU’nun sanal Floppy Disk Denetleyicisi içindedir. Dolayısıyla bunu kullanan sanallaştırma plaftormları bu zafiyetten etkilenmiştir. Bunlar; notably Xen, KVM ve yerel QEMU kullanıcısı.
VMware, Microsoft Hyper-V ve Bochs hypervisors bu açıktan etkilenmemiştir.
Aşağıda yer alan firmalar bu açık ile alakalı kendi sistemlerinde bulunan açıklık için güvenlik önlemleri ve güncellemeleri yayınlamıştır.
- QEMU: http://git.qemu.org/?p=qemu.git;a=commitdiff;h=e907746266721f305d67bc0718795fedee2e824c
- Xen Project: http://xenbits.xen.org/xsa/advisory-133.html
- Red Hat: https://access.redhat.com/articles/1444903
- Citrix: http://support.citrix.com/article/CTX201078
- FireEye: https://www.fireeye.com/content/dam/fireeye-www/support/pdfs/fireeye-venom-vulnerability.pdf
- Linode: https://blog.linode.com/2015/05/13/venom-cve-2015-3456-vulnerability-and-linode/
- Rackspace: https://community.rackspace.com/general/f/53/t/5187
- Ubuntu: http://www.ubuntu.com/usn/usn-2608-1/
- Debian: https://security-tracker.debian.org/tracker/CVE-2015-3456
- Suse: https://www.suse.com/support/kb/doc.php?id=7016497
- DigitalOcean: https://www.digitalocean.com/company/blog/update-on-CVE-2015-3456/
- f5: https://support.f5.com/kb/en-us/solutions/public/16000/600/sol16620.html
- Joyent: https://help.joyent.com/entries/68099220-Security-Advisory-on-Venom-CVE-2015-3456-in-KVM-QEMU
- Liquid Web: http://www.liquidweb.com/kb/information-on-cve-2015-3456-qemu-vulnerability-venom/
- UpCloud: http://status.upcloud.com/incidents/tt05z2340wws
Tavsiyeler:
Eğer Xen, KVM yada QEMU kullanan sistemlere sahip sistem yöneticisiyseniz en son yayınlanan güncellemelerle sistemlerinizi güncellemenizi öneririz.
Kaynaklar:
- http://venom.crowdstrike.com/
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3456
- http://searchservervirtualization.techtarget.com/definition/guest-virtual-machine-guest-VM
- http://searchservervirtualization.techtarget.com/tip/Host-and-guest-virtual-machine-Definitions
- http://arstechnica.com/security/2015/05/venom-vm-bug-called-perfect-for-nsa-or-for-stealing-bitcoin-and-passwords/