I server virtuali hanno un bug peggiore di Heartbleed

Venom permette di accedere a tutte le macchine virtuali.



[ZEUS News - www.zeusnews.it - 15-05-2015]

venom bug server virtuali

Ricordate Heartbleed, la falla in OpenSSL che permetteva di rubare i dati degli utenti dai server e definita «catastrofica»? Ebbene, ora c'è qualcosa di peggio in circolazione.

La nuova vulnerabilità è stata battezzata Venom, acronimo che sta per Virtualized Environment Neglected Operations Manipulation: dal nome si evince come a esserne interessati siano i server virtuali.

L'utilizzo di server virtuali è oggigiorno estremamente ampio poiché permette di risparmiare sulle infrastrutture: un unico server fisico ospita più server virtuali, condividendo alcuni strumenti importanti ma tenendo separati i dati dei singoli server.

Venom consente di accedere all'intero hypervisor e di ottenere in tal modo l'accesso ai dati di ogni macchina virtuale, e tutto ciò avviene grazie a un piccolo e ignorato bug legato a un vecchio controller per floppy disk.

Se riceve un determinato codice, il controller può mandare in crash l'hypervisor e consentire a chi ha organizzato l'attacco di "uscire" dalla propria macchina virtuale e spiare in tutte le altre.

Il bug è così vecchio da risalire al 2004 ed era stato originariamente scoperto in Qemu; è tuttavia ancora presente in diversi software attuali come Xen, KVM e VirtualBox.

Sondaggio
Quale di questi consigli ritieni più importante per una vacanza all'insegna della sicurezza?
Aggiornare il sistema operativo, i programmi installati e le applicazioni, eliminando così eventuali falle di sicurezza già scoperte.
Evitare di usare WLAN pubbliche (in hotel, Internet Café, aeroporto...): solitamente sono protette in maniera inadeguata e i dati possono essere spiati. Meglio utilizzare una connessione mobile UMTS.
Evitare di fare online banking in vacanza e non scaricare o salvare dati personali e sensibili su Pc pubblici.
Creare un indirizzo ad hoc per inviare cartoline elettroniche via email, da disattivare al rientro qualora venisse compromesso.
Impostare una password all'accensione su smartphone e tablet e un PIN per lo sblocco della tastiera.
Fare il backup del notebook o del netbook che si porta in vacanza, crittografando i dati per limitare i danni in caso di furto.

Mostra i risultati (1706 voti)
Leggi i commenti (10)

Sono invece immuni VMWare, Microsoft Hyper-V e Bochs.

Ci sono quindi milioni di macchine sparse nel mondo che adoperano le piattaforme vulnerabili e, secondo il ricercatore di CrowdStrike Jason Geffner, si tratta della peggior falla scoperta quest'anno.

«Heartbleed» - spiega ancora Geffner - «consentiva a un nemico di spiare in casa da una finestra e ottenere informazioni grazie a ciò che vedeva. Venom gli consente di entrare in casa ma anche in tutte le altre case del vicinato».

Le aziende sono state avvisate in aprile dell'esistenza del problema e Oracle ha affermato di averlo già risolto; una nuova versione di VirtualBox contenente la correzione è stata rilasciata da poco.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Come funziona Heartbleed

Commenti all'articolo (4)

Infatti è molto grave ma è difficilmente sfruttabile per fortuna. quindi averlo paragonato ad heartbleed dicendo che è pure peggio mi sembra un azzardo dell'articolista con tutto il rispetto per lui e per zeusnews. Per fortuna è stato patchato subito non è successo il problema di heartbleed
19-5-2015 20:34

Se ti piglia è catastrofico, Ma per pigliarti....
17-5-2015 22:11

Avevo letto che il pericolo era difficilmente sfruttabile. potenzialmente è catastrofico perchè ti permette di accedere all'host e alle altre macchine virtuali. certo il floppy non lo monta nessuno ormai per fortuna nelle vm (o la vulnerabilità rimane anche così? non ho letto le specifiche)
17-5-2015 22:02

Catastrofico? Ma quanti mettono il controller del floppy nelle macchine (fisiche o virtuali)?
17-5-2015 15:42

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Perché Twitter ha tanto successo?
Il limite di 140 caratteri obbliga a esprimersi con brevità e concisione.
Si possono condividere link interessanti velocemente e a un gran numero di persone.
L'integrazione con il cellulare consente di inviare e ricevere i tweet via Sms.
Consente di rimanere aggiornati su un determinato argomento in tempo reale
La motivazione è un'altra, ve la esplicito nei commenti qui sotto.

Mostra i risultati (1047 voti)
Gennaio 2020
Cooler Master: addio siringhe, ma la pasta termica non è una droga
Edge è morto, viva Edge (Chromium)
Il giorno della morte di Windows 7
The New Facebook, il social network cambia pelle
Samsung fa un balzo in avanti con il Galaxy S20
Dicembre 2019
Le peggiori password del 2019
Il chip che realizza la crittografia perfetta a prova di hacker
Apple al lavoro sull'iPhone satellitare
Il water inclinato che impedisce ai dipendenti di stare troppo in bagno
Se i poliziotti vendono nel dark web l'accesso alle telecamere di sicurezza
Il preservativo per i dispositivi USB
Il motorino elettrico di Xiaomi che costa come uno smartphone
Il ransomware che riavvia il PC in modalità provvisoria
Il malware fileless che attacca i Mac
Il software per ricevere gli update di Windows 7 senza pagare
Tutti gli Arretrati


web metrics