CSIRT Panamá Aviso 2015-05 Vulnerabilidad VENOM (CVE-2015-3456)

CSIRT Panamá Aviso 2015-05 Vulnerabilidad VENOM (CVE-2015-3456)
Gravedad: ALTA
Fecha de publicación: Mayo, 2015
Fecha de modificación: Mayo, 2015
Última revisión: Revisión A.

I. Sistemas Afectados

• Xen 4.5.0
• Qemu 2.3.0
• Redhat Enterprise Linux 5
• Redhat Enterprise Linux 6
• Redhat Enterprise Linux 7
• Redhat Enterprise Virtualization 3.0
• Redhat Openstack 4.0
• Redhat Openstack 5.0
• Redhat Openstack 7.0

II. Descripción

La empresa Crowdstrike ha reportado una vulnerabilidad crítica en las plataformas XEN, KVM y QEMU que permiten a un atacante, a través de una vulnerabilidad de tipo “Buffer Overflow”; puede afectar la emulación del controlador del disco floppy en el componente QEMU en los hipervisores KVM/QEMU/Xen. La vulnerabilidad permite romper la seguridad del ambiente de las máquinas virtuales y tomar control del sistema operativo. La vulnerabilidad posee el código CVE-2015-3456 y se le ha colocado el nombre de VENOM (Virtualize Enviroment Neglected Operations Manipulation). Consideramos importante resaltar dos aspectos: aunque las máquinas virtuales no tengan un disco floppy configurado y conectado, la vulnerabilidad puede ser explotada. Los hipervisores de VMWare, Microsoft Hyper-V y Bochs no son afectados por esta vulnerabilidad. Por otro lado, dada la naturaleza de esta vulnerabilidad el atacante tendría que tener privilegios administrativos o de “root” en el sistema operativo huésped para que pueda explotarla.

III. Impacto
Vector de acceso: A través de red local.
Complejidad de Acceso: Baja.
Autenticación: Requerida para explotarla.
Tipo de impacto:
Compromiso total de la integridad del sistema,
Compromiso total de la disponibilidad del sistema,
Compromiso total de la confidencialidad del sistema

IV. Detección

Se recomienda verificar si se está utilizando alguno de los sistemas que estén utilizando este componente en las versiones afectadas por esta vulnerabilidad y aplicar las actualizaciones pertinentes.
Cabe señalar que algunas empresas de barrido de vulnerabilidades ya están empezando a implementar rutinas en sus motores de análisis para la detección de esta vulnerabilidad. En caso tal de que usted posea alguna de estas herramientas, se le recomienda consultar con su proveedor.
V. Mitigación

1. Actualizar el software
Se recomienda actualizar con el fin de solucionar esta vulnerabilidad. Algunos de los proveedores de esta plataforma ya han liberado parches y anuncios acerca de esta vulnerabilidad.
QEMU: http://git.qemu.org/?p=qemu.git;a=commitdiff;h=e907746266721f305d67bc0718795fedee2e824c
Xen Project: http://xenbits.xen.org/xsa/advisory-133.html
Red Hat: https://access.redhat.com/articles/1444903
Ubuntu: http://www.ubuntu.com/usn/usn-2608-1/
Debian: https://security-tracker.debian.org/tracker/CVE-2015-3456
Suse: https://www.suse.com/support/kb/doc.php?id=7016497
Citrix: http://support.citrix.com/article/CTX201078

De igual forma se recomienda a los administradores de sistema revisar los parches ofrecidos por sus proveedores, en caso tal de que utilice estas plataformas.

VI. Información Adicional

http://venom.crowdstrike.com/
http://blog.erratasec.com/2015/05/some-technical-notes-on-venom.html#.VVX9X3Xd8UQ
http://www.computoforense.com/venom-una-nueva-vulnerabilidad-en-entornos-virtuales-y-de-cloud-computing/
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3456
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3456
http://www.theregister.co.uk/2015/05/14/venom_analysis/

VII. Información de contacto
CSIRT PANAMA
Autoridad Nacional para la Innovación Gubernamental
E-Mail: info@cert.pa
Teléfono: 520-2378
Web: https://www.cert.pa

—–BEGIN PGP PUBLIC KEY BLOCK—–
Version: GnuPG v2.0.17 (MingW32)
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=JUYg
—–END PGP PUBLIC KEY BLOCK—–