VENOM: Conozca la vulnerabilidad que está atacando los datacenters
Sepa de qué se trata VENOM, la nueva vulnerabilidad que ataca los datacenters y compromete la seguridad de la información.
Hace poco Jason Geffner, investigador de CrowStike, descubrió un nuevo bug denominado VENOM, el cual afecta la plataforma de visualización de código abierto QEMU. Para quién no la conoce, se trata de un sistema que ofrece recursos de virtualización similares a VMware o Hyper-V de Microsoft.
A pesar de ser grave, tiene un alcance limitado, aunque eso no signifique que todo riesgo a la seguridad de la información deba ser tratado con cuidado y rapidez. VENOM es la sigla de Virtualized Environment Neglected Operations Manipulation (Manipulación de Operaciones Negligencias en Ambiente Virtualizado).
¿Qué es?
Esta vulnerabilidad de buffer no seleccionado (CVE-2015-3456) permite que personas mal intencionadas ingresen y controlen buena parte de un datacenter. La causa es un sector ignorado por muchos datacenters, el controlador de disquet virtual. A pesar de ya no ser usado, aún existe en el Datacenter y cuando recibe un código malicioso compromete a todo el servidor.
¿Cómo funciona?
La mayoría de los datacenters asignan varios números en el mismo servidor, separándolos en máquinas virtuales alimentadas por hypervisor host. Y como VENOM ingresa directamente a hypervisor, este logra moverse de una máquina virtual a otra.
Un ataque en el buffer overflow que explora a VENOM permite que alguien con malas intenciones ejecute el código de seguridad de hypervisor, huyendo del sistema operacional guest para obtener el control de todo el host.
¿Cómo protegerse?
De acuerdo con CrowStike, VENOM puede afectar a millares de empresas, aunque algunas que pertenecen a productos de virtualización que contienen la falla, como Xen, QEMU y Red Hat ya dispusieron de patchs. Otras no fueron afectadas, como VMWare, Microsoft Hyper-V, AWS de Amazon y la plataforma de hypervisors de Bochs. Por otra parte, Oracle informó que corrigió el problema y dispondrá muy pronto la actualización.
Para quién utiliza máquinas virtuales y fue afectado lo mejor es usar el patch dispuesto por la marca, de forma que pueda resolver la vulnerabilidad. Si no fue afectado, es bueno estar atento a las noticias sobre ataques a esos productos. De cualquier forma, entra en contacto con el soporte para saber si fueron afectados y cómo actuar.