Passer au contenu

Venom : la faille zero day qui pourrait mettre le cloud à genoux

Héritage du passé. Des chercheurs ont découvert une faille critique dans un outil open source présent dans de nombreux outils de virtualisation. La sécurité d’une partie du cloud s’en trouve ébranlée.

Sauter le pas du stockage dans le cloud n’est jamais facile. Où sont les données ? Puis-je les récupérer à l’envi ? Sont-elles en sécurité ? Une faille zero day vient d’apporter de l’eau au moulin des paranoïaques.

Coup de tonnerre dans le nuage

Baptisée Venom, pour Virtualized Environment Neglected Operations Manipulation, elle concerne donc certaines plates-formes de virtualisation. L’exploit permet à un attaquant de pénétrer une machine virtuelle, d’exécuter du code sur la machine hôte et d’accéder à n’importe quelle autre machine virtuelle qui fonctionnerait sur ce serveur. Pire, l’attaquant pourrait potentiellement obtenir « des droits d’accès élevés au réseau local de l’hôte et aux systèmes adjacents », expliquent les experts en sécurité de la société Crowdstrike, qui ont découvert cette faille et lui ont donné son nom.
« La bonne nouvelle est que nous avons découvert cette faille avant que des personnes malintentionnées le fassent », expliquait Jason Geffner de Crowdstrike à nos confrères de Dark Reading, confirmant que ni son équipe ni ses confrères n’ont trouvé de preuve que la faille avait déjà été exploitée. 

La mauvaise nouvelle est que la vulnérabilité, qui concerne le contrôleur du lecteur de disquette virtuelle de Quick Emulator (QEMU, un hyperviseur open source), est largement répandue. Le code de QEMU est en effet utilisé dans de nombreuses plates-formes de virtualisation comme Xen, KVM ou Oracle VM Virtualbox, pour ne citer que les plus populaires. Les produits VMWare, l’Hyper-V de Microsoft ou encore les hyperviseurs Bochs ne sont, eux, pas concernés.

Pour autant, ce sont des centaines, voire des milliers de produits qui sont victimes de cette faille, avec un degré de gravité qui fait presque passer la faille Heartbleed pour un minuscule bug. En effet, la plupart des hyperviseurs (qui permettent donc à plusieurs systèmes d’exploitation de se partager les ressources d’une même machine) fonctionnent avec les privilèges root, ce qui revient à ouvrir en grand toutes les portes…

Faille gigantesque, correctif centralisé

Venom est donc sans surprise qualifiée de « critique » par Crowdstrike. Une fois encore, ce qui pourrait être une catastrophe est le fruit d’une succession de riens… La présence de QEMU est un héritage du passé, un reste de code rarement utilisé, qui demeure et peut-être détourné à des fins néfastes. C’est une sorte de faille par « négligence », d’où le « neglected » qui donne le N de Venom.

Les experts de Crowdstrike conviennent que cette faille pourrait exposer des milliers de contenus, mettant à mal les droits à la propriété intellectuelle ou à la vie privée. Un attaquant ou un malware pourrait effectivement accéder aux bases de données d’une société connectée aux systèmes attaqués. Pour autant, le fait que le déploiement des correctifs soit centralisé peut également plaider en faveur du cloud. Car la faille sera ainsi jugulée bien plus rapidement. Crowdstrike encourage donc les entreprises à s’assurer que leur prestataire dans le nuage déploie rapidement un patch…

A lire aussi :
Tombertik, le malware qui détruit votre ordinateur quand il est détecté
– 05/05/2015

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Pierre Fontaine