El investigador jefe de CrowdStrike, Jason Geffner, reportó el descubrimiento de una vulnerabilidad denominada Venom. En una notificación de seguridad, la empresa señala que Venom podría ser explotada por hackers para una variedad de propósitos.
“Potencialmente, esta vulnerabilidad podría permitir a un atacante ejecutar código en una máquina virtual para obtener acceso al servidor”, se indica en el anuncio.
Aunque se trata de una vulnerabilidad potencial, la empresa recalca: “La explotación de la vulnerabilidad Venom puede dar acceso a la propiedad intelectual de la empresa, además información sensible y personal”.
La intención de Geffner es poner de relieve la gran dependencia actual de sistemas basados en máquinas virtuales, especialmente para la utilización de recursos informáticos compartidos, como asimismo en otras áreas como conectividad, almacenamiento, seguridad y privacidad.
Según CrowdStrike, Venom ha existido por lo menos desde 2004 y afecta a productos de QEMU, Xen Project, Red Hat, Citrix, FireEye, Rackspace, Ubuntu, Debian, Suse, DigitalOcean y F5. CrowdStrike comunicó a estas empresas los detalles de Venom en abril y según su informe éstas ya han parcheado la falla.
Los hipervisores de VMware, Microsoft Hyper-V y Bochs no se ven afectados, ya que no utilizan hipervisores de virtualización QEMU.
El carácter generalizado de Venom llevó incluso a algunas fuentes a describirlo como “la próxima Heartbleed”, lo que parece ser exagerado, habida cuenta que no hay pruebas de que la falla haya sido explotada. Asimismo, los parches habilitados inmediatamente por las empresas afectadas hacen difícil activar un proceso de explotación.
“Cualquier exploit creado alrededor Venom tendrían que adaptarse frente a un entorno de destino específico”, explicó Chris Eng, vicepresidente de investigación en Veracode, agregando que “en segundo lugar, el atacante tendría que estar ya en el sistema atacado para explotar la vulnerabilidad. Ciertamente, esto no es imposible en un entorno de nube pública, pero sería bastante complicado de llevar a la práctica”.
—
Imagen: Serpiente por Shutterstock © Roman Seliutin