2015年5月13日にCrowdStrike社が仮想フロッピーディスクコントローラの脆弱性情報を公開しました。ここでは関連情報をまとめます。
脆弱性概要
脆弱性の概要情報は次の通り。
愛称 | VENOM VIRTUALIZED ENVIRONMENT NEGLECTED OPERATIONS MANIPULATIONの略 |
---|---|
アイコン | あり |
CVE | CVE-2015-3456 |
発見者名 | Jason Geffner氏 CrowdStrike シニアセキュリティリサーチャー |
専用サイト | あり http://venom.crowdstrike.com/ |
QEMUの仮想フロッピードライブコントローラのコードに存在するバッファオーバーフローの脆弱性。この脆弱性を悪用された場合、攻撃者が仮想マシンから抜け出し、ホスト側のシステムに対してアクセス・任意のコード実行が可能となる恐れがある。
CrowdStrikeによる詳細解説
タイムライン
日時 | 出来事 |
---|---|
2015年4月30日 | CrowdStrikeが各ベンダのセキュリティ関係メーリングリストにVENOMに関する情報提供 |
2015年5月13日 | パッチリリースを受け、CrowdStrikeが脆弱性情報を公開。 |
脆弱性評価
評価詳細
評価尺度 | Redhat |
---|---|
攻撃元区分 | 隣接 |
攻撃条件の複雑さ | 中 |
攻撃前認証要否 | 単一 |
機密性への影響 | 全面的 |
完全性への影響 | 全面的 |
可用性への影響 | 全面的 |
定性的評価
Redhat | Important |
---|
『VENOMは近隣の家すべてに押し入るような攻撃』←ただしいったん同じアパートに部屋を借りないといけない、という条件はつきますね / “新たな脆弱性「VENOM」をセキュリティ企業が報告--広範な仮想プラットフォームに影響 - Z…” http://t.co/24TwHxFGfr
— 徳丸 浩 (@ockeghem) 2015, 5月 14
影響対象
影響を受ける製品・ベンダ
真偽不明情報・有志の検証報告
真偽不明ながらESXiとFusionでPoCによりクラッシュさせたとのつぶやき
I confirmed this morning that the PoC for CVE-2015-3456 additionally crashes Guests on ESXi 5.5 and Fusion 7.1.1 #VENOM
— Dave Crawford (@PingTrip) 2015, 5月 14
この不明情報を受けて辻さんの検証報告。
このツイートを受けてESXiとVMware Player上のゲストOSでPoCの実行をしてみました。ESXiではこんな感じ。http://t.co/vUxN14FDll (続く https://t.co/Mxyt4BtrrT
— 辻 伸弘(nobuhiro tsuji) (@ntsuji) 2015, 5月 15
続き)VMware Playerではこんな感じ。両方、落ちるわけですがこれってVENOMを利用したって言えるんでしょうか。単に仮想フロッピーデバイスがDoS状態になっただけのような。うーん。(終り pic.twitter.com/ejK4rO8KGc
— 辻 伸弘(nobuhiro tsuji) (@ntsuji) 2015, 5月 15
VirtualBoxでの検証報告
@ntsuji vboxはデフォではFDC接続されてないので、それでかと。仮想マシンのストレージにFDC追加するとPoCで落ちます。
— gleenちゃさん (@gleentea) 2015, 5月 15
影響対象外の製品
次の製品はVENOMの影響を受けないとCrowdStrikeが報告している。
次の製品は影響を受けないと報告されている。
- Softlayer Update - VENOM Vulnerability
クラウド事業者への影響
対策
- 各ベンダが公開しているパッチを適用する。
検証コード
次の検証コードが確認されている。(piyokangoはPoCは未検証です。)
https://marc.info/?l=oss-security&m=143155206320935&w=2
#include <sys/io.h> #define FIFO 0x3f5 int main() { int i; iopl(3); outb(0x0a,0x3f5); /* READ ID */ for (i=0;i<10000000;i++) outb(0x42,0x3f5); /* push */ }
JPCERT/CCによるPoC検証報告
CVE-2015-3456(通称 VENOM)の脆弱性の検証コードを用いて検証を実施した結果、ゲストOSからホストOSに影響を与える事を確認しました。ご使用の環境、サービスの対応状況について確認をお勧めします。^HT
— Analysis Center (@jpcert_ac) 2015, 5月 15
具体的には、Ubuntu 12.04 qemu-kvm 1.0+noroms-0ubuntu13 の環境にて、検証コードを用いて確認したところ、ホストOSで動作する QEMU-KVM プロセスが異常終了する事を確認しています。^HT
— Analysis Center (@jpcert_ac) 2015, 5月 15
関連リンク
主要メディア報道情報
N/A
更新履歴
- 2015年5月14日 PM 新規作成