Mucho se ha dicho en los estos días sobre la vulnerabilidad VENOM. Se trata de un bug que forma parte de una larga lista de fallas de seguridad que afectan a Internet en toda su extensión. Según los expertos, VENOM es una vulnerabilidad la “vieja escuela” que aqueja a un fenómeno de la nueva era: la virtualización.
En términos generales, las máquinas virtuales son computadoras que operan de forma independiente dentro de otras computadoras. La llamada Nube es una vasta red de máquinas virtuales. Según explican los especialistas, un atacante podría explotar el bug VENOM con el objetivo de escapar de un entorno virtualizado y ejecutar un código en otro.
El ala del periodismo más sensacionalista rápidamente categorizó a VENOM como una falla que tuvo “un impacto mayor que la infame vulnerabilidad de OpenSSL Heartbleed”. Probablemente la mejor respuesta a estos dichos fue la que dio el investigador de seguridad Dan Kaminsky.
“Puedo decir con certeza que realmente perdimos el rumbo cuando empezamos a crear rankings para categorizar las vulnerabilidades”, le dijo Kaminsky a Dennis Fisher durante el podcast “Digital Undergound” de Threatpost. “Esto no es Iron Man contra el Capitán América. Esto no es una película de los Avengers; esto es ciencia”.
“Así es la naturaleza del mundo que gira hoy en torno a la industria de la seguridad”, se lamentó Kaminsky. Cada falla crítica recibe su nombre listo para ser usado con un hashtag, su propio logo y un conjunto de relacionistas públicos dispuestos a decir que se trata de la peor vulnerabilidad de la historia.
Kaminsky explicó que “las fallas graves ocurren”. “Si bien algunas son muy malas, lidiamos con ellas. ¿Son un problema grande? Sí, lo son. Pero las arreglamos. En el caso de VENOM las cosas fueron un poco más allá. Hicimos lo que pudimos de forma privada, y debimos de presentar el problema de manera pública para recopilar más información. Así es como lo hacemos. Ése es el juego que jugamos”, agregó el investigador.
#VENOM Flaw in #Virtualization Software Could Lead to VM Escapes, Data Theft – https://t.co/p2CXHhX6Gb
— Threatpost (@threatpost) May 13, 2015
No se trata de restar importancia a la gravedad de VENOM, porque es –de hecho- bastante grave. La virtualización juega un papel crucial en la Internet de hoy. Lo mismo las máquinas virtuales que hacen posible el cloud-computing (procesamiento y almacenamiento masivo de datos en servidores que alojan información del usuario), una tecnología muy importante para nuestros proveedores de servicios y de la cual dependen grandes empresas como Amazon. De esta manera, un atacante podría comprar el espacio de un proveedor de servidores de la nube y escapar del entorno virtual apagado, así como migrar a cualquier otra máquina virtual que opera bajo el mismo host.
Todo lo que necesitas saber sobre la #vulnerabilidad #VENOM
Tweet
Más allá de eso, VENOM podría incluso impactar en los testeadores de malware. La mayoría de los analistas de malware infectan intencionalmente las máquinas virtuales con malware. Desde allí pueden examinar cómo funciona el software malicioso en un ambiente seguro, en cuarentena. VENOM tiene la capacidad de permitir que la vulnerabilidad se mueva fuera del entorno de cuarentena y de cualquier otro espacio informático conectado.
Como mencionamos arriba, el bug existe de hace mucho tiempo. De hecho, está presente en el componente del controlador de disquete virtual incluido en una serie de plataformas de virtualización populares. Sí, disquetes, aunque no se pueda creer. Siéntete libre de hacernos en los comentarios de esta nota la última vez que usaste una unidad de estas.
@micahflee pic.twitter.com/bZWwbxgiN7
— Yael @yaelwrites@mastodon.social (@yaelwrites) May 14, 2015
En una entrevista publicada antes del podcast, Kaminsky dijo a Fisher que VENOM es bug pago para jugar. Un atacante puede comprar espacio de la nube de un proveedor y luego explotar VENOM para ganar ciertos privilegios locales dentro de la nube y dirigir su ataque usando el mismo proveedor. Ciertos proveedores de la nube, explicó el especialista, “ofrecen un mayor aislamiento de hardware como premio”. Kaminsky afirmó que vale la pena pagar por dicho premio con el objetivo de ofrecer mejores precios a posibles atacantes.
VENOM, que significa (por sus siglas en inglés) Entorno de Manipulación Virtualizado de Operaciones Denegadas fue descubierto por Jason Geffner, investigador senior de seguridad de CrowdStrike.
Full technical details of VENOM (CVE-2015-3456) vulnerability now live on CrowdStrike's official blog – http://t.co/Pmp6u7mTp3
— Jason Geffner (@JasonGeffner) May 15, 2015
En realidad, no hay nada que nosotros, los usuarios, podamos hacer para protegernos, más allá de contar con la esperanza de que nuestro servidor de la nube y otros proveedores de virtualización arreglen el problema lo más pronto posible. Pero hay buenas noticias (y en doble tanda). En primer lugar, los vendedores más afectados ya emitieron un parche para solucionar este problema; por otra parte, un nuevo concepto de prueba muestra que VENOM es en realidad más difícil de explotar de lo que los expertos pensaban al comienzo.
Several factors mitigate the #Venom bug's utility – http://t.co/eiT6AYVsgG pic.twitter.com/ksUpvwvrOS
— Kaspersky (@kaspersky) May 18, 2015
Desde la perspectiva del usuario común de Internet, creo que la verdadera lección aquí es darse cuenta cuán omnipresente es la virtualización en línea en 2015.
Traducido por: Guillermo Vidal Quinteiro y Maximiliano De Benedetto