Sicurezza server: una minaccia al veleno

Dopo heartbleed è stata resa pubblica una nuova clamorosa vulnerabilità di alcune note piattaforme di virtualizzazione, su cui si basano milioni di contratti di hosting VPS, server privati virtuali e hosting condivisi. Si tratta del Virtualized Environment Neglected Operations Manipulations (VENOM, in inglese veleno), che consente a chi lo sa sfruttare di prendere il controllo non solo della macchina virtuale affetta dal bug, ma anche di tutte quelle sullo stesso hypervisor. Per analogia, se con Heartbleed qualcuno aveva modo di entrare in casa vostra e prenderne possesso, ora con VENOM può prendere il controllo di casa vostra e di tutto il vicinato.

L’origine di questa vulnerabilità è un buffer overflow nel controller virtuale per floppy disk. Il bug è presente sin dal 2004 nell’emulatore open source QEMU, il cui controller legacy è oggi utilizzato nelle piattaforme di virtualizzazione Xen, KVM e Virtualbox. Sono immuni dal bug Bochs, VMWare e Microsoft Hyper-V.

I prossimi aggiornamenti delle piattaforme colpite introdurranno le correttive al bug già annunciate; nel frattempo il rimedio più semplice è disabilitare il driver floppy sulla piattaforma di virtualizzazione. D’altra parte nel 2015 si può fare a meno del floppy nella maggior parte dei casi.