Qu’est-ce que la vulnérabilité VENOM ? Comment pouvez-vous vous protéger ?

La vulnérabilité VENOM affecte tous les principaux fournisseurs de processeurs, notamment Intel, AMD et ARM. VENOM permet à des acteurs malveillants de lire le contenu de la mémoire de l'ordinateur et potentiellement d'exécuter du code à distance.

Si vous disposez d'un processeur vulnérable , votre ordinateur pourrait être en danger, il est donc important de savoir comment vous protéger contre cette attaque d'exploit !

Qu’est-ce que la vulnérabilité VENOM ?

VENOM signifie Virtualized Environment Neglected Operations Manipulation, et comme d’autres vulnérabilités, elle existe depuis un certain temps.

Son code dans la base de données Common Vulnerabilities and Exposure est CVE-2015-3456, ce qui signifie que la vulnérabilité a été divulguée publiquement en 2015 par Jason Geffner, chercheur principal en sécurité chez CrowdStrike. Cette vulnérabilité, introduite pour la première fois en 2004, affectait les interfaces et les périphériques des machines virtuelles de QEMU, KVM, Xen et VirtualBox à partir de cette période jusqu'à ce qu'elle soit corrigée suite à l'incident.

La vulnérabilité VENOM est due à une faiblesse du pilote de disquette virtuelle de QEMU, permettant aux cyber-attaquants de compromettre la structure virtualisée, y compris n'importe quelle machine au sein d'un réseau de données donné.

Cette vulnérabilité a un impact majeur sur la sécurité des données ; Cela peut entraîner des problèmes avec des millions de machines virtuelles risquant d'être exploitées. Il est généralement activé via diverses configurations par défaut qui accordent des autorisations pour exécuter diverses commandes.

Si les cyberattaquants réussissent leur opération, ils peuvent se déplacer latéralement depuis la machine virtuelle attaquée et accéder à votre serveur réseau. Ils peuvent alors accéder à d'autres machines virtuelles sur le réseau. Cela mettra certainement vos données en danger.

Comment fonctionne la vulnérabilité VENOM ?

VENOM est une vulnérabilité très malveillante qui existe dans le lecteur de disquette des machines virtuelles. Les cyber-attaquants peuvent donc exploiter cette vulnérabilité et l'utiliser pour voler les données des machines virtuelles affectées.

Cela signifie que pour réussir leur intrusion, les attaquants doivent avoir accès à la machine virtuelle. Ils devront alors avoir accès au pilote de disquette virtuelle – les ports E/S. Pour ce faire, ils peuvent transmettre du code et des commandes spécialement conçus de la machine virtuelle invitée au pilote de disquette compromis. Le pilote de disquette concerné fournit ensuite des autorisations à la machine virtuelle, permettant au pirate informatique d'interagir avec le serveur réseau sous-jacent.

Les vulnérabilités de VENOM sont principalement utilisées dans des attaques ciblées à grande échelle, telles que la cyberguerre, l'espionnage industriel et d'autres types d'attaques ciblées. Ils peuvent également créer des débordements de tampon dans le lecteur de disquette de la machine virtuelle, s'échapper de la machine virtuelle et en envahir d'autres à l'intérieur de l'hyperviseur, un processus appelé mouvement latéral.

De plus, les attaquants pourraient être autorisés à accéder au matériel de la plate-forme nue et à visualiser d'autres structures du réseau hyperviseur. Les pirates peuvent se déplacer vers d’autres plates-formes et moniteurs indépendants sur le même réseau. De cette façon, ils peuvent accéder à la propriété intellectuelle de votre organisation et voler des informations sensibles, telles que des informations personnelles identifiables (PII).

Ils peuvent même voler vos Bitcoins si vous avez des jetons BTC sur le système. Une fois qu'ils ont surmonté l'attaque et disposent d'un accès illimité au réseau local du serveur, ils peuvent accorder aux concurrents l'accès à votre réseau de serveurs.

Quels systèmes sont concernés par VENOM ?

VENOM peut être facilement exploité par les cybercriminels sur de nombreux systèmes différents. Les systèmes les plus couramment attaqués avec la vulnérabilité VENOM incluent Xen, VirtualBox, QEMU, Linux, Mac OS X, Windows, Solaris et tout autre système d'exploitation basé sur les hyperviseurs ou la virtualisation QEMU.

C'est un problème pour les principaux fournisseurs de cloud comme Amazon, Citrix, Oracle et Rackspace, car ils s'appuient fortement sur des systèmes virtuels basés sur QEMU qui sont vulnérables à VENOM. Cependant, vous n'avez pas à vous inquiéter outre mesure car la plupart de ces plateformes ont développé des stratégies pour protéger les machines virtuelles contre les attaques cybercriminelles.

Par exemple, selon Amazon Web Services, la vulnérabilité VENOM impliquant les données client AWS ne présente aucun risque.

Comment se protéger de VENOM

Si vous craignez que vos données soient volées en raison de la vulnérabilité VENOM, ne vous inquiétez pas. Il existe de nombreuses façons de s’en protéger.

Une façon de vous protéger consiste à utiliser des correctifs. Alors que les cyberattaques via VENOM devenaient particulièrement répandues, des correctifs ont été développés par les éditeurs de logiciels afin de remédier aux failles de sécurité.

Les systèmes Xen et QEMU, les systèmes les plus affectés par la vulnérabilité VENOM, disposent de correctifs distincts disponibles au public. Vous devez noter que tout correctif QEMU qui vous protège de la vulnérabilité VENOM vous obligera à redémarrer la machine virtuelle.

Les administrateurs système exécutant des clients KVM, Xen ou QEMU doivent installer les derniers correctifs disponibles auprès de leurs fournisseurs. Il est préférable de suivre les instructions du fournisseur et de vérifier l'application pour le correctif VENOM le plus récent.

Voici quelques fournisseurs qui ont publié des correctifs pour la vulnérabilité VENOM :

• QEMU.
• Chapeau rouge.
• Projet Xen.
• Espace rackable.
• Citrix.
• Linode.
• Oeil de feu.
• Ubuntu.
• Suzée.
• Debian.
• Océan numérique.
• f5.

Une autre option pour vous protéger de la vulnérabilité évidente de VENOM consiste à utiliser des systèmes qui ne sont pas exposés à ce type d'attaque, tels que Microsoft Hyper-V, VMWare, Microsoft Linode et Amazon AWS. Ces systèmes sont à l’abri des failles de sécurité basées sur VENOM, car ils ne sont pas vulnérables aux attaques de cybercriminels utilisant cette vulnérabilité spécifique.