Lỗ hổng VENOM là gì và bạn có thể tự bảo vệ mình khỏi nó như thế nào?

Lỗ hổng VENOM ảnh hưởng đến tất cả các nhà cung cấp CPU lớn, bao gồm Intel, AMD và ARM. VENOM cho phép các tác nhân độc hại đọc nội dung trong bộ nhớ máy tính của bạn và có khả năng thực thi mã từ xa.

Nếu bạn có một CPU dễ bị tấn công, máy tính của bạn có thể gặp rủi ro, vì vậy điều quan trọng là phải biết cách tự bảo vệ mình trước sự khai thác này!

Lỗ hổng VENOM là gì?

VENOM là viết tắt của Virtualized Environment Neglected Operations Manipulation, và cũng giống như các lỗ hổng khác, nó đã tồn tại khá lâu.

Mã của nó trong cơ sở dữ liệu Lỗ hổng phổ biến và Phơi nhiễm là CVE-2015-3456, có nghĩa là lỗ hổng bảo mật đã được tiết lộ công khai vào năm 2015 bởi Jason Geffner của CrowdStrike, một nhà nghiên cứu bảo mật cấp cao. Lỗ hổng này, được giới thiệu lần đầu vào năm 2004, đã ảnh hưởng đến các thiết bị và giao diện máy ảo từ QEMU, KVM, Xen và VirtualBox từ thời kỳ đó cho đến khi nó được khắc phục sau sự cố.

Lỗ hổng VENOM xuất hiện do điểm yếu trong bộ điều khiển đĩa mềm ảo của QEMU cho phép những kẻ tấn công mạng xâm nhập vào cấu trúc ảo hóa, bao gồm bất kỳ máy nào trong mạng dữ liệu nhất định.

Lỗ hổng này có ảnh hưởng lớn đến bảo mật dữ liệu; điều này có thể gây kịch tính với hàng triệu máy ảo có nguy cơ bị khai thác. Nó thường được kích hoạt thông qua các cấu hình mặc định khác nhau cấp quyền thực thi các lệnh khác nhau.

Nếu những kẻ tấn công mạng thực hiện thành công các hoạt động của chúng, chúng có thể di chuyển theo chiều ngang từ máy ảo bị tấn công và giành quyền truy cập vào máy chủ mạng của bạn. Sau đó, họ có thể truy cập vào các máy ảo khác trên mạng. Điều đó chắc chắn sẽ khiến dữ liệu của bạn gặp rủi ro cao.

Khai thác này hoạt động như thế nào?

VENOM là một lỗ hổng độc hại cao tồn tại bên trong ổ đĩa mềm của máy ảo, vì vậy những kẻ tấn công mạng có thể khai thác lỗ hổng này và sử dụng nó để đánh cắp dữ liệu từ các máy ảo bị ảnh hưởng.

Điều đó có nghĩa là, để thực hiện thành công việc khai thác của mình, những kẻ tấn công cần có quyền truy cập vào máy ảo. Sau đó, họ sẽ cần có quyền truy cập bộ điều khiển đĩa mềm ảo — các cổng I / O. Họ có thể làm điều này bằng cách chuyển các mã và lệnh được chế tạo đặc biệt từ máy ảo khách sang bộ điều khiển đĩa mềm bị xâm phạm. Bộ điều khiển đĩa mềm bị ảnh hưởng sau đó cung cấp quyền cho máy ảo, cho phép tin tặc tương tác với máy chủ mạng bên dưới.

Lỗ hổng VENOM chủ yếu được sử dụng trong các cuộc tấn công có chủ đích trên quy mô lớn, như chiến tranh mạng, gián điệp công ty và các loại tấn công có chủ đích khác. Chúng cũng có thể tạo ra sự cố tràn bộ đệm bên trong ổ đĩa mềm của máy ảo, thoát ra khỏi máy ảo và xâm nhập những người khác bên trong hypervisor, một quá trình được gọi là chuyển động ngang.

Hơn nữa, những kẻ tấn công có thể được phép truy cập vào phần cứng của nền tảng kim loại trần và xem các cấu trúc khác trong mạng hypervisor. Tin tặc có thể di chuyển đến các nền tảng độc lập và trình giám sát khác trên cùng một mạng. Bằng cách đó, họ có thể truy cập tài sản trí tuệ của tổ chức bạn và đánh cắp thông tin nhạy cảm, chẳng hạn như Thông tin nhận dạng cá nhân (PII).

Họ thậm chí có thể ăn cắp Bitcoin của bạn nếu bạn có mã thông báo BTC trên hệ thống của mình. Khi họ vượt qua cuộc tấn công và có quyền truy cập không hạn chế vào mạng cục bộ của máy chủ của bạn, họ có thể cấp cho đối thủ cạnh tranh của bạn quyền truy cập vào mạng máy chủ của bạn.

Hệ thống nào bị ảnh hưởng bởi VENOM?

VENOM có thể bị tội phạm mạng khai thác dễ dàng trên nhiều hệ thống khác nhau. Các hệ thống bị tấn công phổ biến nhất với lỗ hổng VENOM bao gồm Xen, VirtualBox, QEMU, Linux, Mac OS X, Windows, Solaris và bất kỳ hệ điều hành nào khác được xây dựng trên siêu giám sát hoặc ảo hóa QEMU.

Đó là vấn đề đối với các nhà cung cấp đám mây lớn như Amazon, Citrix, Oracle và Rackspace vì họ phụ thuộc quá nhiều vào các hệ thống ảo dựa trên QEMU dễ bị ảnh hưởng bởi VENOM. Tuy nhiên, bạn không phải lo lắng nhiều vì hầu hết các nền tảng này đều đã phát triển các chiến lược để bảo vệ máy ảo khỏi các cuộc tấn công của tội phạm mạng.

Ví dụ: theo các dịch vụ web của Amazon, không có rủi ro nào gây ra bởi lỗ hổng VENOM liên quan đến dữ liệu khách hàng AWS.

Cách bảo vệ bản thân khỏi VENOM

Nếu bạn lo sợ về việc dữ liệu của mình bị đánh cắp do lỗ hổng VENOM, đừng lo lắng. Có nhiều cách để bảo vệ bạn khỏi nó.

Một cách bạn có thể tự bảo vệ mình là sử dụng các bản vá. Khi các cuộc tấn công mạng thông qua VENOM trở nên đặc biệt lan rộng, các bản vá được phát triển bởi các nhà cung cấp phần mềm như một phương tiện để khắc phục lỗ hổng bảo mật.

Hệ thống Xen và QEMU, những hệ thống bị ảnh hưởng nhiều nhất bởi lỗ hổng VENOM, có các bản vá riêng biệt dành cho công chúng. Bạn cần lưu ý rằng bất kỳ bản vá QEMU nào bảo vệ bạn khỏi lỗ hổng VENOM sẽ yêu cầu bạn khởi động lại máy ảo.

Chúng tôi khuyên các quản trị viên hệ thống đang chạy ứng dụng khách KVM, Xen hoặc QEMU nên cài đặt các bản vá mới nhất mà nhà cung cấp của họ cung cấp. Tốt nhất bạn nên làm theo hướng dẫn của họ và xác minh ứng dụng cho bản vá VENOM gần đây nhất.

Dưới đây là một số nhà cung cấp đã cung cấp các bản vá cho lỗ hổng VENOM:

• QEMU.
• Mũ đỏ.
• Dự án Xen.
• Khoảng trống.
• Citrix.
• Linode.
• Ánh mắt rực lửa.
• Ubuntu.
• Suse.
• Debian.
• DigitalOcean.
• f5.

Một lựa chọn khác để bảo vệ bạn khỏi lỗ hổng VENOM rõ ràng là sử dụng các hệ thống không có nguy cơ bị khai thác này, như Microsoft Hyper-V, VMWare, Microsoft Linode và Amazon AWS. Các hệ thống này an toàn trước các lỗi bảo mật dựa trên VENOM, vì chúng không dễ bị tấn công từ các tội phạm mạng sử dụng lỗ hổng cụ thể đó.

VENOM dễ bị tổn thương so với Heartbleed

Một lỗ hổng đáng chú ý khác mà bạn có thể đã nghe nói đến là Heartbleed. Lỗ hổng Heartbleed là một lỗi cấp cho tin tặc quyền truy cập để rình mò các liên lạc trên internet, đánh cắp thông tin nhạy cảm và đóng giả là người dùng và dịch vụ hợp pháp. Đã có nhiều tin đồn về việc VENOM tệ hơn Heartbleed. Tuy nhiên, điều này khó có thể trở thành sự thật, ít nhất là về độ lớn.

Heartbleed làm tổn hại đến tính bảo mật của giao thức mã hóa cơ bản của web, OpenSSL, một trong những cách triển khai được sử dụng nhiều nhất của các giao thức mật mã Lớp cổng bảo mật (SSL) và Bảo mật lớp truyền tải (TLS). Mặt khác, Venom nhắm mục tiêu vào các nền tảng ảo hóa, làm ảnh hưởng đến các nhà cung cấp đám mây và khách hàng của họ.

Lỗ hổng VENOM — Chó không răng hay Chất độc VENOMous?

VENOM là một lỗ hổng bảo mật gây rủi ro lớn cho hệ thống dữ liệu, đặc biệt là đối với các nhà cung cấp dịch vụ đám mây. Lỗ hổng này cung cấp cho những kẻ tấn công mạng quyền truy cập để hack các đĩa mềm ảo của các máy ảo và cho phép chúng truy cập bên nhiều hơn vào các hệ thống và máy ảo khác trong mạng. Rất may, các bản vá hiện có sẵn để ngăn chặn lỗ hổng này.