Crowdstrike于上周三宣布其发现了另一种长期潜伏的Linux漏洞。

该漏洞名为“Venom（毒液）”，由Crowdstrike的高级安全研究员所发现，并被列为漏洞CVE-2015-3456。

Venom漏洞将会攻击虚拟机

Venom漏洞自2004年以来就一直存在于虚拟软盘驱动代码中（FDC） ，且普遍用于基于QEMU （快速模拟处理器）的虚拟化平台。

Geffner表示：“由于该代码的漏洞属性并不明显，因此其掩藏了11年都没有被发现。”

“当发布漏洞报告之后，我向QEMU团队提供了第二种发现该漏洞的方法。其中一名团队打电话告诉我我的报告一定弄错了。在我亲自向他们示范过几次之后，他们终于发现了该漏洞的存在。”

Venom的危害方式

Venom将会对虚拟机产生威胁。

一台服务器运行着一台管理程序，而该管理程序又运行一个或多个虚拟机，称为“客户机”。 管理程序为每个客户机操作系统提供虚拟操作系统，并管理客户机操作系统的执行。

虚拟机可运行同个或不同操作系统的多个实例，且多个虚拟机可运行在同一个硬件平台上。

根据Crowdstrike的说法，当子操作系统向FDC的输入/输出端口发送搜索，读取，写入或格式等指令时，FDC就会将这些请求及其相关参数存储在固定大小的缓冲区中。

FDC会跟踪每个指令需要多少数据。 在从客户操作系统接收到一个给定命令的所有预期数据之后，FDC将执行该命令，并为下一个命令清除缓冲区。

然而，Crowdstrike的报告中没有指明的一点就是两次指令并不会重置。 攻击者可以将这些命令和特制参数数据从子系统发送到FDC，以在主机的管理程序进程中创建缓冲区溢出并执行恶意代码。

黑客必须获取管理员权限或 root访问权限才能发起攻击，因此黑客并不能随意进入系统并控制FDC。

Black Duck Software开源战略高级总监Bill Weinberg：“然而通过Venom漏洞，具有足够root权限的恶意用户程序可能会突破管理程序的隔离防护，并进入其他应用程序的内存空间，破坏另一台虚拟机中运行的软件堆栈，并获得敏感的数据和应用程序信息”。

谁将受到攻击

Radware安全解决方案部门主任David Hobbs表示：“我认为Venom漏洞并不是Linux漏洞，而是一种虚拟机漏洞”。

他指出：“该漏洞大多与 KVM， Xen 和VirtualBox 有关，而这些管理程序都存在漏洞”。

Venom 漏洞对云提供商的威胁比企业更大，但是Hobbs 表示：“我希望云提供商能够快速采取行动修复该漏洞”。

由于使用了自己的代码，因此VMware， Microsoft Hyper-V 和 Bloch管理程序都未受到Venom漏洞的影响。

Tripwire的安全分析师Ken Westin表示，亚马逊也未受到Venom的影响，因为其使用的是修正版的Xen。

然而Crowdstrike的首席技术官 Dmitri Alperovitch表示，使用安全设备的企业将会处于危险之中。

Geffner指出：“安全设备可被用来启动恶意软件，并以管理员身份运行恶意软件以将其危害性发挥至最大。这样一来恶意软件就拥有了管理员权限，从而能够摧毁整个系统”。

他指出，提供基础设施即服务的数据中心及其客户也受到Venom的威胁，因为“当客户从这些数据中心租赁虚拟机时，他们会给予系统 root 层次的访问权限”。

Venom的危害性有多大？

Tripwire的安全分析师Westin 指出，由于无法被远程执行，因此Venom的危害性相较于Heartbleed而言要小。

他表示：“虽然相较于 Heartbleed 和 Shellshock漏洞而言， Venom漏洞的危害性要更小一些，但是该漏洞依然需要尽快得到修复”。

Alperovitch表示：“Venom漏洞就像一把放在桌子上的手枪，它还没有产生威胁只是因为暂时没有人将这把手枪拿起来。但是该漏洞依然随时会引发网络攻击”。

更多内容推荐：>>>Linux僵尸网络肆意横行