חוקרי אבטחה ב-CrowdStrike גילו ביום רביעי פגיעות אבטחה שיש בה כדי לטעוןדימום לב, הפגיעות החמורה של השנה שעברה שהפכה את התקשורת עם שירותי אינטרנט פופולריים רבים לבלתי מאובטחת, ועלולה לחשוף מיליוני סיסמאות. הפעם, לעומת זאת, קשה יותר לעטוף את הראש.

מדובב"אֶרֶס," הפגיעות משפיעה על פלטפורמות וירטואליזציה פופולריות רבות, במיוחד על מכונות ומכשירים וירטואליים Xen, KVM ו-QEMU. היא פועלת על ידי ניצול באג של הצפת חוצץ בבקר התקליטון של QEMU.

אם הוא מנוצל, זה עלול לאפשר לתוקפים שיש להם גישה למחשב וירטואלי אחד לגשת פוטנציאלית לכל המכונות הווירטואליות האחרות הפועלות על אותה חומרה.

ראה גם:

מה זה אומר באנגלית פשוטה? אני אגיע לזה בעוד שנייה, אבל ה-TL;DR על Venom הוא שזה ניצול מגעיל וזה עדיין משהו שמרכזי נתונים ומנהלי מערכות צריכים להיות מודעים אליו. למרבה המזל, רוב מפעילי מרכזי הנתונים הגדולים מודעים ל- Venom ותיקנו אותו.

כמו Heartbleed, Venom הוכרזה לציבור עם לוגו משלה ודף שאלות נפוצות. החדשות הטובות, לפי מומחי אבטחה, הן שלמרות שזה רציני, ונום אינו רציני בשום אופן כמו Heartbleed.

Heartbleed עלה לרשת לפני קצת יותר משנה והציב בסיס חדש לחשיפת באגים פומבית, הודות למסע השיווק החלקלק שלה.

להבין מה זה ארס

כדי להבין את Venom, חשוב להבין כיצד עובד מחשוב ענן מודרני. במקום להריץ יישומים או תהליכים על שרתים בודדים, חברות ויחידים מריצים לעתים קרובות מכונה וירטואלית כחלק משרת גדול יותר.

חשבו על מכונה וירטואלית (VM) כסוג של "PC בענן" - מופע נפרד של מערכת הפעלה שיש לה משאבים, זיכרון RAM ורוחב פס משלה. עם זאת, הדרך בה מוקצים משאבים פירושה ששרת ייעודי אחד יכול כעת לספק כוח שרת וזיכרון עבור המון המון מחשבי VM שונים.

ישנן טונות של טכנולוגיות וירטואליזציה שונות בחוץ, כאשר כמה מהנפוצות ביותר הן Xen, KVM, QEMU, VMWare, Microsoft Hyper-V ו-Bochs hypervisors.

חשוב לציין עם Venom ש-VMWare, Microsoft ו-Bochs אינן מושפעות מפגיעות זו.

הרבה מארחי ענן, כולל AWS, Rackspace, Linode ו-DigitalOcean של אמזון משתמשים בטכנולוגיית הווירטואליזציה של Xen או KVM.

הדרך שבה פגיעות זו פועלת היא שהיא משתמשת בבאג בבקר תקליטונים וירטואלי ישן כדי להשתלט על כל המערכת הבסיסית. לפי CrowdStrike, הבאג קיים מאז 2004.

כן, זה יותר מ-11 שנים. מה לקח כל כך הרבה זמן למצוא אותו? ובכן, לטוב ולרע, אין הרבה התעסקות עם בקרי כונן תקליטונים מדור קודם.

מצדה, CrowdStrike אומרת שהיא לא ראתה שום ניצול של הפגיעות הזו בטבע, לפחות, עדיין לא.

מי מושפע ואיך בודקים

החדשות הטובות, לפחות עד כה, הן שרוב ספקי הענן הגדולים אינם מושפעים מ- Venom.

אמזון, ש-AWS שלה היא ספקית הענן הגדולה ביותר,פרסם עדכון ביום רביעי ואמר"אנו מודעים לבעיית האבטחה של QEMU שהוקצתה ל-CVE-2015-3456, הידועה גם בשם 'VENOM', שמשפיעה על פלטפורמות וירטואליות שונות. אין סיכון לנתונים או למופעים של לקוחות AWS".

Linode חברה המציעה שרתים וירטואליים פרטיים בעלות נמוכה יותר (VPSs) המבוססים על Xen (ובביתא, KVM)אמר בבלוג שלושצוות האבטחה שלה בדק את הפגיעות ושהוא רצה "להרגיע את לקוחות לינוד שפגיעות זו אינה משפיעה על אף חלק של תשתית לינוד ולא נדרשת כל פעולה מצידך".

Rackspace, עוד ספק ענן גדול,אמר יום רביעיכי Venom אכן משפיעה על "חלק מצי שרתי הענן שלנו" וכי היא מתקנת את החלק בתשתית שלה המושפע מהפגיעות.

DigitalOcean, חברת VPS תקציבית נוספת, פרסמה אערך בבלוגעל הפגיעות, ומתאר את החברות שמתכננות לאתחל חלק מה-hypervisors שלה כדי להתעדכן נגד האיום.

באימייל אמר טוד בירדסלי מ-Rapid 7:

האנשים המושפעים ביותר מ-VENOM הם אלה שמפעילים שירותי VPS מתארחים (ולכן, נותנים באופן שגרתי גישת שורש למכונות אורחים של זרים), ואלו שמנויים לאותם שירותי VPS. לקוחות של שירותי VPS צריכים להטריד את הספקים שלהם עד להחלת תיקונים, והספקים צריכים להתקדם במהירות.

אז בהתחשב בחסם הכניסה הזה, כמה "קל" זה לנצל את VENOM ולהשיג שליטה על מערכות ההפעלה המארחות ועל האורחים השכנים? נכון לרגע זה, אף אחד לא פרסם קוד פומבי של הוכחה לקונספט כדי להדגים את באג ה-VENOM המדווח, אז נשארנו עם מידה מסוימת של ספקולציות לגבי האם זה ניתן לניצול "קל" או לא".

חשוב לציין שבעוד שפגיעות זו היא מבחינה טכנית מקומית בלבד, ניצול מוצלח מוביל לפריצה ממערכת הפעלה אורחת למערכת ההפעלה המארחת. נסיבות אלו גורמות לי להאמין ש-VENOM הוא באג "מעניין" לסוגי האנשים שכן מנצלים מחקר למחייתם. להיות מסוגל לפרוץ ממערכת הפעלה אורחת למערכת הפעלה מארח היא יכולת נדירה וחזקה, ובאגים כאלה הם נדירים. בהתחשב בתמריץ הזה של עניין, הייתי מצפה לראות ניצול הוכחה פומבי למושג מופיע במוקדם ולא במאוחר.

הזנב הארוך יותר על הניצול הזה

ארס הוא אמיתי, גם אם ההשפעה האמיתית שלו לא כל כך גרועה כמו שמסע השיווק שלה עושה את זה.

כמו סטיב ראגן בCSOמציין, למרות שזה בהחלט אפשרי שהרבה מערכות יכולות להיות מושפעות מהפגם, זה לא אומר שזה יהיה קל לניצול.

ככל שחברות הענן הגדולות ומארחי הענן מתקינים את השרתים שלהם, הבעיה הגדולה יותר עשויה להיות עבור מרכזי נתונים ומארחים קטנים יותר שאין להם כל כך צורך דחוף לעדכן מפני הפגיעות.

כפי שכותב רוב גרהם ב-Errata Security על שלובלוג Errata Security, הבעיה עבור מארחים מסוימים היא שמרכז הנתונים יצטרך לאתחל את המערכות המארחות כדי להתקין את התיקון. לקוחות בדרך כלל שונאים אתחול מחדש ומעדיפים את הסיכוי שינצלו אותם על תיקון.

ועם גל חשבונות ה-VPS של המשווקים ומארחי ה-VPS המעופפים שם בחוץ, יתכן גם שיש הרבה מארחים או אפילו מרכזי נתונים שפשוט לא יהיה להם אכפת.

כתוצאה מכך, חשוב ליצור קשר עם המארח או לספק ה-VPS שלך כדי לראות אם הם מושפעים וכיצד הם מתכננים לטפל בבעיה.