脆弱性VENOMについて

VENOM = Virtualized Environment Neglected Operations Manipulation

VENOMとは、KVM/QEMU及びXenハイパーバイザーのQEMUコンポーネントに実装されるフロッピーディスクコントローラー(FDC)エミュレーションに影響を与えるバッファオーバーフローの脆弱性のことで、CVE-2015-3456が割り振られている。

この脆弱性を悪用することで、ゲストをクラッシュさせる、ゲストに対応するホストのQEMUプロセスの権限を用いてホストで任意のコードを実行することが可能となる。
ホストのQEMUのプロセスの特権やリソースアクセスを制限するために使用されるsVirtおよびseccomp機能(Secure Computingの略らしい)により、VENOMの悪用による影響が軽減される可能性がある。

回避策としては、信頼されていないユーザにゲスト内の管理者特権を付与しないようにすることが挙げられる。

[用語]
・sVirt = 仮想マシンのプロセスからホスト上の不要なリソースへのアクセスを禁止するためにKVMの仮想マシンプロセスに設定されるもの(svirt_tタイプが設定される)。これによってホストマシンと仮想マシンの分離が可能となっている。これに加えてlibvirtによってKVMに関連するプロセスやファイルにMCSのカテゴリラベルを付与することによって、ホストマシンと仮想マシン間だけでなく、仮想マシン間の分離も可能となる。
・seccomp = Secure Computingの略。Linux上で仮想環境を実現するためにプロセスのシステムコール発行を制限する機能。

VM escape

以下の2種類の脆弱性を悪用することでVMエスケープが成功してしまう。
・CVE-2015-5165
・CVE-2015-7504
CVE-2015-5165はmemory leak脆弱性、CVE-2015-7504はheap-based overflow脆弱性である。

CVE情報について

CVE = Common Vulnerabilities and Exposures
CVE情報は以下のサイトを参考にすると良い。

• CVE識別番号管理サイト

参考

・https://venom.crowdstrike.com/
・https://threatpost.com/venom-flaw-in-virtualization-software-could-lead-to-vm-escapes-data-theft/112772/
・https://access.redhat.com/ja/articles/1446873

(to be updated)