Categories: Open SourceSoftware

Venom: Oracle stopft Leck in Virtual Box und Oracle VM

Oracle veröffentlicht Patches für die Virtualisierungsprodukte Virtual Box, Oracle VM und Oracle Linux, die von der als VENOM (CVE-2015-3456) bekannten Schwachstelle betroffen sind. Angreifer können über die Schwachstelle eine virtuelle Maschine verlassen und Zugang zum Host-System erlangen. Über den Host-Server ist es dann möglich, auch auf andere virtuelle Maschinen zuzugreifen und Daten zu entwenden.

VENOM (Virtualised Environment Neglected Operations Manipulation) lässt sich über einen so genannten Buffer-Overflow ausnutzen. KVM und Xen haben wie andere bereits Patches veröffentlicht. Entdeckt hat die Schwachstelle der Sicherheitsexperte Jason Geffner von Crowdstrike, der auch die Hersteller über VENOM informierte.

Weil dieses Leck sehr kritisch ist, rät Oracle allen Betroffenen die Aktualisierungen umgehend aufzuspielen. Damit das Update wirksam wird, ist ein Neustart erforderlich. Erfolgreich ausnutzen lässt es sich jedoch nur dann, wenn der Angreifer an dem Oracle-System angemeldet ist.

Der verwundbare Code für den Floppy Disk Controller sei neben verschiedenen anderen Virtualisierungs-Produkten auch in einigen Oracle-Produkten enthalten, wie der Hersteller in dem Advisory mitteilt. Die Schwachstelle, so heißt es von Oracle weiter, lasse sich ausnutzen, indem ein Hacker Zugang zu einem Gastsystem hat, das Gastsystem muss allerdings berechtigt sein, auf den Floppy Disk Controller (FDC) zuzugreifen. “Dann kann der Angreifer in der Lage sein, bösartigen Code an den FDC zu schicken, dieser wird dann im Kontext des Hypervisor-Prozesses auf dem Host-Betriebssystem ausgeführt.”

Betroffen sich VirtualBox 3.2, 4.0, 4.1, 4.2 sowie 4.3 älter als 4.3.28. Bei Oracle VM sind die Versionen 2.2, 3.2 sowie 3.3 und bei Oracle Linux weisen 5, 6, and 7 das Leck auf. VENOM ermöglicht ein Privileg Escalation.

Damit dürften auch viele Unternehmensanwender nicht gefährdet sein. Denn nur in wenigen Fällen gewähren Anwender-Unternehmen Zugriff auf virtuelle Maschinen. Hoster oder ISVs allerdings sind dadurch verwundbar: Ein Angreifer müsste sich für eine Attacke lediglich eine Instanz auf Basis von KVM oder Xen anmieten und könnte dann über VENOM auf den Host-Rechner zugreifen.

Der Fehler soll sich seit elf Jahren im virtuellen Floppy Disk Controller (FDC) befinden. Betroffen waren Open-Source-Emulator (QEMU) und damit auch die Virtualisierungsplattformen Xen, KVM, Virtualbox und der native QEMU-Client, wie Geffner erklärt. Nicht anfällig sind VMware, Microsofts Hyper-V und der Bochs-Hypervisor.

Floppy-Laufwerke sind meist nicht mehr im Einsatz. Dennoch werden von den Herstellern virtuelle Maschinen ab Werk mit dem virtuellen Floppy Disk Controller ausgestattet. Über einen Input/Output-Port kommuniziert das Gastbetriebssystem mit FDC. Dieser prüft, wie viele Daten er erhalten soll. Nach dem Erhalt der erwarteten Daten, führt er den Befehl aus und leert den Puffer für die nächste Übertragung. Angreifer können Venom nutzen, um die Befehle mit einem bestimmten Parameter zu senden. Dieser löst anschließend einen Pufferüberlauf aus. Auf diese Weise lässt sich dann Schadcode einschleusen und ausführen.

Geffner allerdings sieht in Venom ein Leck, von dem ein höheres Risiko ausgeht als durch die Heartbleed-Lücke in der Verschlüsselungssoftware OppenSSL. “Heartbleed lässt einen Bösewicht durch das Fenster eines Hauses schauen und die Informationen sammeln, die er sieht”, sagte Geffner in einem Telefoninterview mit ZDNet USA. “Venom erlaubt es einer Person, nicht nur in ein Haus einzubrechen, sondern auch in jedes andere Haus in der Nachbarschaft.”

Auch Red Hat, SUSE, Debian, Amazon sowie weitere Hersteller und Projekte bereits Patches veröffentlicht. Die Endurance International Group hat eine Anleitung bereit gestellt, wie sich Xen und KVM auch ohne Neustart akualisieren lassen.

Redaktion

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

3 Stunden ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

4 Stunden ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

2 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

3 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

4 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

4 Tagen ago