I server virtuali hanno un bug peggiore di Heartbleed

Venom permette di accedere a tutte le macchine virtuali.



[ZEUS News - www.zeusnews.it - 15-05-2015]

venom bug server virtuali

Ricordate Heartbleed, la falla in OpenSSL che permetteva di rubare i dati degli utenti dai server e definita «catastrofica»? Ebbene, ora c'è qualcosa di peggio in circolazione.

La nuova vulnerabilità è stata battezzata Venom, acronimo che sta per Virtualized Environment Neglected Operations Manipulation: dal nome si evince come a esserne interessati siano i server virtuali.

L'utilizzo di server virtuali è oggigiorno estremamente ampio poiché permette di risparmiare sulle infrastrutture: un unico server fisico ospita più server virtuali, condividendo alcuni strumenti importanti ma tenendo separati i dati dei singoli server.

Venom consente di accedere all'intero hypervisor e di ottenere in tal modo l'accesso ai dati di ogni macchina virtuale, e tutto ciò avviene grazie a un piccolo e ignorato bug legato a un vecchio controller per floppy disk.

Se riceve un determinato codice, il controller può mandare in crash l'hypervisor e consentire a chi ha organizzato l'attacco di "uscire" dalla propria macchina virtuale e spiare in tutte le altre.

Il bug è così vecchio da risalire al 2004 ed era stato originariamente scoperto in Qemu; è tuttavia ancora presente in diversi software attuali come Xen, KVM e VirtualBox.

Sondaggio
Quale di questi consigli ritieni più importante per una vacanza all'insegna della sicurezza?
Aggiornare il sistema operativo, i programmi installati e le applicazioni, eliminando così eventuali falle di sicurezza già scoperte.
Evitare di usare WLAN pubbliche (in hotel, Internet Café, aeroporto...): solitamente sono protette in maniera inadeguata e i dati possono essere spiati. Meglio utilizzare una connessione mobile UMTS.
Evitare di fare online banking in vacanza e non scaricare o salvare dati personali e sensibili su Pc pubblici.
Creare un indirizzo ad hoc per inviare cartoline elettroniche via email, da disattivare al rientro qualora venisse compromesso.
Impostare una password all'accensione su smartphone e tablet e un PIN per lo sblocco della tastiera.
Fare il backup del notebook o del netbook che si porta in vacanza, crittografando i dati per limitare i danni in caso di furto.

Mostra i risultati (1868 voti)
Leggi i commenti (10)

Sono invece immuni VMWare, Microsoft Hyper-V e Bochs.

Ci sono quindi milioni di macchine sparse nel mondo che adoperano le piattaforme vulnerabili e, secondo il ricercatore di CrowdStrike Jason Geffner, si tratta della peggior falla scoperta quest'anno.

«Heartbleed» - spiega ancora Geffner - «consentiva a un nemico di spiare in casa da una finestra e ottenere informazioni grazie a ciò che vedeva. Venom gli consente di entrare in casa ma anche in tutte le altre case del vicinato».

Le aziende sono state avvisate in aprile dell'esistenza del problema e Oracle ha affermato di averlo già risolto; una nuova versione di VirtualBox contenente la correzione è stata rilasciata da poco.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (4)

MaXXX eternal tiare
Infatti è molto grave ma è difficilmente sfruttabile per fortuna. quindi averlo paragonato ad heartbleed dicendo che è pure peggio mi sembra un azzardo dell'articolista con tutto il rispetto per lui e per zeusnews. Per fortuna è stato patchato subito non è successo il problema di heartbleed
19-5-2015 20:34
vac
Se ti piglia è catastrofico, Ma per pigliarti....
17-5-2015 22:11
MaXXX eternal tiare
Avevo letto che il pericolo era difficilmente sfruttabile. potenzialmente è catastrofico perchè ti permette di accedere all'host e alle altre macchine virtuali. certo il floppy non lo monta nessuno ormai per fortuna nelle vm (o la vulnerabilità rimane anche così? non ho letto le specifiche)
17-5-2015 22:02
vac
Catastrofico? Ma quanti mettono il controller del floppy nelle macchine (fisiche o virtuali)?
17-5-2015 15:42
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Hai inserito username e password della tua webmail. Il browser ti chiede se desideri salvare le credenziali di accesso per il futuro. Cosa fai?
Uso questa opzione perché è comoda, così non devo inserire ogni volta username e password
Clicco su No e disattivo l'opzione “Resta collegato”
Non accedo alla mail attraverso siti di webmail ma solo attraverso applicazioni installate sul dispositivo

Mostra i risultati (1957 voti)
Aprile 2024
n. 3803 del 24-04-2024
Enel nel mirino dell'Antitrust per le bollette esagerate
n. 3802 del 21-04-2024
TIM, altre ''rimodulazioni'' in arrivo
n. 3801 del 18-04-2024
L'algoritmo di ricarica che raddoppia la vita utile delle batterie
n. 3800 del 12-04-2024
Hype e Banca Sella, disservizi a profusione
n. 3799 del 11-04-2024
Falla nei NAS D-Link, ma la patch non arriverà mai
n. 3798 del 09-04-2024
La navigazione in incognito non è in incognito
n. 3797 del 05-04-2024
Le tre stimmate della posta elettronica
n. 3796 del 03-04-2024
Amazon abbandona i negozi coi cassieri a distanza
Marzo 2024
n. 3795 del 30-03-2024
Buone azioni e serrature ridicole
n. 3794 del 26-03-2024
Il piano Merlyn, ovvero la liquidazione di Tim
n. 3793 del 23-03-2024
Falla nelle serrature elettroniche, milioni di stanze d'hotel a rischio
n. 3792 del 21-03-2024
L'antenato di ChatGPT in un foglio Excel
n. 3791 del 19-03-2024
La valle inquietante
n. 3790 del 15-03-2024
La crisi di Tim e la divisione sindacale
n. 3789 del 12-03-2024
La fine del mondo, virtuale
Tutti gli Arretrati
Vecchi articoli
Accadde oggi - 26 aprile
2022
Elon Musk è il nuovo proprietario di Twitter
2021
Cellebrite attacca Signal, il creatore di Signal rende tossico Cellebrite
2019
Alexa, ecco come disabilitare l'ascolto
2018
Tenere attivo ''OK Google'' significa mandare pezzi di conversaz...
2017
I viaggi in aereo di oggi sono più lenti. Perché?
2015
Autovelox, Kim Dotcom rischia espulsione da Nuova Zelanda
2014
Pale eoliche come in un alveare
2013
Western Digital, l'hard disk da 5mm è arrivato
2012
Niente più ispezioni per le videocamere sui posti di lavoro
2011
L'orologio ufficiale di Al Qaeda
2010
Hawking: "Fate attenzione agli alieni"
2009
Una Botnet da 1,9 milioni di Pc
2008
Indovina cosa viene a cena
2007
Wind e la Sim che scade
2006
Creative Commons si allea con l'open-DRM (parte 2)
2005
Il digitale terrestre di Albertini
2003
L'EUCD fa male agli utenti
2002
Trasporto sicuro di dati
Olimpo Informatico


 
web metrics