VENOM es una vulnerabilidad aun peor que Heartbleed, el famoso fallo de seguridad en OpenSSL del que hemos hablado en este blog. Afecta a servidores GNU/Linux, y al igual que con Heartbleed se podía recuperar información de la memoria del servidor de forma remota sin tener permiso de acceso, VENOM también es una amenaza para la seguridad.
VENOM (CVE-2015-3456) es un reciente problema descubierto que podría afectar a millones de servidores y equipos. Lo peor es que lleva presente más de 11 años y permite a un usuario remoto explotar esta vulnerabilidad para poder tener acceso fuera de la máquina virtual. De ahí su nombre, ya que VENOM es el acrónicmo de Virtual Environment Neglected Operations Manipulation.
Con VENOM podría saltarse el límite de la máquina virtual que presta el servicio y operar directamente con la máquina real para ejecutar código malicioso en ella, acceder a otras máquinas virtuales presentes en el sistema, acceso a otras zonas de la red de datos, etc.
Y el causante de este problema es el desfasado, pero aun presente, controlador del floppy. Que aunque los disquetes estén prácticamente obsoletos, aun se sigue manteniendo por motivos de retrocompatibilidad. De hecho, ha afectado a casi el 95% de los sistemas como:
- RHEL 5.x, 6.x y 7.x
- CentOS Linux 5.x, 6.x, 7.x
- OpenStack 4, 5 (RHEL 6), y 5 y 6 (RHEL 7).
- Red Hat Enterprise Virtualization 3.
- Debian y otras distros basadas en esta. Incluida Ubuntu (12.04, 14,04, 14,10 y 15.04).
- SUSE Linux Enterprise Server 5, 6, 7, 10, 11, 12 (en todos sus Service Packs)
Para solucionar este problema de VENOM, debes mantener tu distribución lo más actualizada posible con los últimos parches de seguridad. Además, si empleas VirtualBox, debes actualizarlo a la versión 4.3 o superior (cuando salgan). Aunque no habrá que reiniciar el sistema, sí que habrá que reiniciar las máquinas virtuales para solucionar el problema.
También afecta a máquinas virtuales con QEMU, XEN, KVM y Citrix. Pero no afecta a los sistemas de virtualización de VMWare, Hyper-V de Microsoft, ni tampoco a BOCHS. Así que mantente actualizado e infórmate en tu caso de como corregir el problema. Espero que esto sea un toque de atención para los desarrolladores, que también deben auditar el código antiguo para que no ocurran estas cosas.