26 mai 2015
La vulnérabilité CVE-2015-3456 (VENOM) a été découverte par CrowdStrike il y a quelques jours et impacte bon nombre d’équipements utilisant la virtualisation.
Cette vulnérabilité permet théoriquement à un attaquant de s’échapper d’une VM infecté, de potentiellement exécuter du code arbitraire sur l’hôte ou causer un déni de service.
La faille provient de la virtualisation du « Floppy Disk Controller » dans QEMU. Même dans le cas ou l’invité n’a pas de disquette configurée et attachée, ce problème est tout de même exploitable. Le problème est présent dans le contrôleur de lecteur de disquettes chargé en mémoire, quelle que soit la configuration et ne peut être supprimé.
Actuellement à notre connaissance, aucune attaque exploitant cette vulnérabilité n’a été référencé.
Dans la suite de cet article, vous pouvez retrouver les constructeurs impactés et les patchs disponible.
Les constructeurs impactés
La vulnérabilité provient du « Floppy Disk Controller » virtuel utilisé dans plusieurs plateforme de virtualisation et appliances, comme Xen, QEMU, KVM, Fortinet, FireEye et F5.
VMware et Microsoft Hyper-V ne sont pas impactés par la vulnérabilité.
Les communications et patch des constructeurs
VENOM est une faille importante et il est conseillé de mettre à jour les équipements vulnérables au plus vite.
Ci-dessous les différentes communications de constructeurs :
- Cisco (ASA) : https://tools.cisco.com/quickview/bug/CSCuu45000
- FireEye: https://www.fireeye.com/content/dam/fireeye-www/support/pdfs/fireeye-venom-vulnerability.pdf
- F5 (BIG-IP): https://support.f5.com/kb/en-us/solutions/public/16000/600/sol16620.html
- Fortinet (FortiSandbox 2.0.2) : http://www.fortiguard.com/advisory/FG-IR-15-012/
- Bluecoat (X-Series) : https://bto.bluecoat.com/security-advisory/sa95
- QEMU: http://git.qemu.org/?p=qemu.git;a=commitdiff;h=e907746266721f305d67bc0718795fedee2e824c
- Xen Project: http://xenbits.xen.org/xsa/advisory-133.html
- Red Hat: https://access.redhat.com/articles/1444903
- Citrix: http://support.citrix.com/article/CTX201078
- Ubuntu: http://www.ubuntu.com/usn/usn-2608-1/
- Debian: https://security-tracker.debian.org/tracker/CVE-2015-3456
- SUSE: https://www.suse.com/security/cve/CVE-2015-3456.html
- Oracle: http://www.oracle.com/technetwork/topics/security/alert-cve-2015-3456-2542656.html
- Barracuda Networks: https://community.barracudanetworks.com/forum/index.php?/topic/25582-cve-2015-3456-venom-vulnerability/?p=71567
- CentOS: https://www.centosblog.com/critical-qemu-vulnerability-venom-affects-xen-kvm-virtualbox-xenserver/
Cet article sera actualisé en fonction des mises à jour constructeurs.
Si vous avez des questions par rapport à la vulnérabilité de vos équipements, vous pouvez contacter notre support.