Categories: Open SourceSoftware

Venom: Oracle stopft Leck in Virtual Box und Oracle VM

Oracle veröffentlicht Patches für die Virtualisierungsprodukte Virtual Box, Oracle VM und Oracle Linux, die von der als VENOM (CVE-2015-3456) bekannten Schwachstelle betroffen sind. Angreifer können über die Schwachstelle eine virtuelle Maschine verlassen und Zugang zum Host-System erlangen. Über den Host-Server ist es dann möglich, auch auf andere virtuelle Maschinen zuzugreifen und Daten zu entwenden.

VENOM (Virtualised Environment Neglected Operations Manipulation) lässt sich über einen so genannten Buffer-Overflow ausnutzen. KVM und Xen haben wie andere bereits Patches veröffentlicht. Entdeckt hat die Schwachstelle der Sicherheitsexperte Jason Geffner von Crowdstrike, der auch die Hersteller über VENOM informierte.

Weil dieses Leck sehr kritisch ist, rät Oracle allen Betroffenen die Aktualisierungen umgehend aufzuspielen. Damit das Update wirksam wird, ist ein Neustart erforderlich. Erfolgreich ausnutzen lässt es sich jedoch nur dann, wenn der Angreifer an dem Oracle-System angemeldet ist.

Der verwundbare Code für den Floppy Disk Controller sei neben verschiedenen anderen Virtualisierungs-Produkten auch in einigen Oracle-Produkten enthalten, wie der Hersteller in dem Advisory mitteilt. Die Schwachstelle, so heißt es von Oracle weiter, lasse sich ausnutzen, indem ein Hacker Zugang zu einem Gastsystem hat, das Gastsystem muss allerdings berechtigt sein, auf den Floppy Disk Controller (FDC) zuzugreifen. “Dann kann der Angreifer in der Lage sein, bösartigen Code an den FDC zu schicken, dieser wird dann im Kontext des Hypervisor-Prozesses auf dem Host-Betriebssystem ausgeführt.”

Betroffen sich VirtualBox 3.2, 4.0, 4.1, 4.2 sowie 4.3 älter als 4.3.28. Bei Oracle VM sind die Versionen 2.2, 3.2 sowie 3.3 und bei Oracle Linux weisen 5, 6, and 7 das Leck auf. VENOM ermöglicht ein Privileg Escalation.

Damit dürften auch viele Unternehmensanwender nicht gefährdet sein. Denn nur in wenigen Fällen gewähren Anwender-Unternehmen Zugriff auf virtuelle Maschinen. Hoster oder ISVs allerdings sind dadurch verwundbar: Ein Angreifer müsste sich für eine Attacke lediglich eine Instanz auf Basis von KVM oder Xen anmieten und könnte dann über VENOM auf den Host-Rechner zugreifen.

Der Fehler soll sich seit elf Jahren im virtuellen Floppy Disk Controller (FDC) befinden. Betroffen waren Open-Source-Emulator (QEMU) und damit auch die Virtualisierungsplattformen Xen, KVM, Virtualbox und der native QEMU-Client, wie Geffner erklärt. Nicht anfällig sind VMware, Microsofts Hyper-V und der Bochs-Hypervisor.

Floppy-Laufwerke sind meist nicht mehr im Einsatz. Dennoch werden von den Herstellern virtuelle Maschinen ab Werk mit dem virtuellen Floppy Disk Controller ausgestattet. Über einen Input/Output-Port kommuniziert das Gastbetriebssystem mit FDC. Dieser prüft, wie viele Daten er erhalten soll. Nach dem Erhalt der erwarteten Daten, führt er den Befehl aus und leert den Puffer für die nächste Übertragung. Angreifer können Venom nutzen, um die Befehle mit einem bestimmten Parameter zu senden. Dieser löst anschließend einen Pufferüberlauf aus. Auf diese Weise lässt sich dann Schadcode einschleusen und ausführen.

Geffner allerdings sieht in Venom ein Leck, von dem ein höheres Risiko ausgeht als durch die Heartbleed-Lücke in der Verschlüsselungssoftware OppenSSL. “Heartbleed lässt einen Bösewicht durch das Fenster eines Hauses schauen und die Informationen sammeln, die er sieht”, sagte Geffner in einem Telefoninterview mit ZDNet USA. “Venom erlaubt es einer Person, nicht nur in ein Haus einzubrechen, sondern auch in jedes andere Haus in der Nachbarschaft.”

Auch Red Hat, SUSE, Debian, Amazon sowie weitere Hersteller und Projekte bereits Patches veröffentlicht. Die Endurance International Group hat eine Anleitung bereit gestellt, wie sich Xen und KVM auch ohne Neustart akualisieren lassen.

Redaktion

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

1 Tag ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

1 Tag ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

2 Tagen ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

2 Tagen ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

2 Tagen ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

3 Tagen ago