Lỗ hổng VENOM là gì? Làm cách nào bạn có thể tự bảo vệ mình?

Lỗ hổng VENOM ảnh hưởng đến tất cả các nhà cung cấp CPU lớn, bao gồm Intel, AMD và ARM. VENOM cho phép các tác nhân độc hại đọc nội dung trong bộ nhớ máy tính và có khả năng thực thi code từ xa.

Nếu bạn có một CPU dễ bị tấn công, máy tính của bạn có thể gặp rủi ro, vì vậy điều quan trọng là phải biết cách tự bảo vệ mình trước cuộc tấn công exploit này!

Lỗ hổng VENOM là gì?

VENOM là viết tắt của Virtualized Environment Neglected Operations Manipulation, và cũng giống như các lỗ hổng khác, nó đã tồn tại khá lâu.

Code của nó trong cơ sở dữ liệu Common Vulnerabilities and Exposure là CVE-2015-3456, có nghĩa là lỗ hổng bảo mật đã được tiết lộ công khai vào năm 2015 bởi Jason Geffner, một nhà nghiên cứu bảo mật cấp cao của CrowdStrike. Lỗ hổng này, được giới thiệu lần đầu vào năm 2004, đã ảnh hưởng đến các thiết bị và interface máy ảo từ QEMU, KVM, Xen và VirtualBox từ thời kỳ đó cho đến khi nó được khắc phục sau sự cố.

Lỗ hổng VENOM xuất hiện do điểm yếu trong trình điều khiển đĩa mềm ảo của QEMU, cho phép những kẻ tấn công mạng xâm nhập vào cấu trúc ảo hóa, bao gồm bất kỳ máy nào trong mạng dữ liệu nhất định.

Lỗ hổng này có ảnh hưởng lớn đến bảo mật dữ liệu; điều này có thể gây ra vấn đề với hàng triệu máy ảo có nguy cơ bị tấn công exploit. Nó thường được kích hoạt thông qua nhiều cấu hình mặc định khác nhau cấp quyền thực thi các lệnh khác nhau.

Nếu những kẻ tấn công mạng thực hiện thành công hoạt động của chúng, chúng có thể di chuyển theo chiều ngang từ máy ảo bị tấn công và giành quyền truy cập vào máy chủ mạng của bạn. Sau đó, họ có thể truy cập vào các máy ảo khác trên mạng. Điều đó chắc chắn sẽ khiến dữ liệu của bạn gặp rủi ro cao.

Lỗ hổng VENOM hoạt động như thế nào?

VENOM là một lỗ hổng rất độc hại tồn tại bên trong ổ đĩa mềm của máy ảo, vì vậy những kẻ tấn công mạng có thể khai thác lỗ hổng này và sử dụng nó để lấy cắp dữ liệu từ các máy ảo bị ảnh hưởng.

Điều đó có nghĩa là, để thực hiện thành công việc xâm nhập của mình, những kẻ tấn công cần có quyền truy cập vào máy ảo. Sau đó, chúng sẽ cần có quyền truy cập trình điều khiển đĩa mềm ảo - các cổng I/O. Chúng có thể làm điều này bằng cách chuyển các code và lệnh được chế tạo đặc biệt từ máy ảo khách sang driver đĩa mềm bị xâm phạm. Driver đĩa mềm bị ảnh hưởng sau đó cung cấp quyền cho máy ảo, cho phép tin tặc tương tác với máy chủ mạng bên dưới.

Lỗ hổng VENOM chủ yếu được sử dụng trong các cuộc tấn công có chủ đích trên quy mô lớn, như chiến tranh mạng, gián điệp công ty và các loại tấn công có chủ đích khác. Chúng cũng có thể tạo ra sự cố tràn bộ đệm bên trong ổ đĩa mềm của máy ảo, thoát ra khỏi máy ảo và xâm nhập những người khác bên trong hypervisor, một quá trình được gọi là chuyển động ngang.

Hơn nữa, những kẻ tấn công có thể được phép truy cập vào phần cứng của nền tảng bare metal và xem các cấu trúc khác trong mạng hypervisor. Tin tặc có thể di chuyển đến các nền tảng độc lập và trình giám sát khác trên cùng một mạng. Bằng cách đó, họ có thể truy cập tài sản trí tuệ của tổ chức bạn và đánh cắp thông tin nhạy cảm, chẳng hạn như Personally Identifiable Information (PII).

Chúng thậm chí có thể ăn cắp Bitcoin của bạn nếu bạn có mã thông báo BTC trên hệ thống. Khi họ vượt qua cuộc tấn công và có quyền truy cập không hạn chế vào mạng cục bộ của máy chủ, chúng có thể cấp cho đối thủ cạnh tranh quyền truy cập vào mạng máy chủ của bạn.

Hệ thống nào bị ảnh hưởng bởi VENOM?

VENOM có thể bị tội phạm mạng khai thác dễ dàng trên nhiều hệ thống khác nhau. Các hệ thống bị tấn công phổ biến nhất với lỗ hổng VENOM bao gồm Xen, VirtualBox, QEMU, Linux, Mac OS X, Windows, Solaris và bất kỳ hệ điều hành nào khác được xây dựng trên QEMU hypervisors hoặc virtualization.

Đó là vấn đề đối với các nhà cung cấp đám mây lớn như Amazon, Citrix, Oracle và Rackspace vì họ phụ thuộc quá nhiều vào các hệ thống ảo dựa trên QEMU dễ bị ảnh hưởng bởi VENOM. Tuy nhiên, bạn không phải lo lắng nhiều vì hầu hết các nền tảng này đều đã phát triển các chiến lược để bảo vệ máy ảo khỏi những cuộc tấn công của tội phạm mạng.

Ví dụ, theo các dịch vụ web của Amazon, không có rủi ro nào gây ra bởi lỗ hổng VENOM liên quan đến dữ liệu khách hàng AWS.

Cách bảo vệ bản thân khỏi VENOM

Nếu bạn lo sợ về việc dữ liệu của mình bị đánh cắp do lỗ hổng VENOM, đừng lo lắng. Có nhiều cách để bảo vệ bạn khỏi nó.

Một cách bạn có thể tự bảo vệ mình là sử dụng các bản vá. Khi các cuộc tấn công mạng thông qua VENOM trở nên đặc biệt lan rộng, những bản vá được phát triển bởi các nhà cung cấp phần mềm như một phương tiện khắc phục lỗ hổng bảo mật.

Hệ thống Xen và QEMU, những hệ thống bị ảnh hưởng nhiều nhất bởi lỗ hổng VENOM, có các bản vá riêng biệt dành cho công chúng. Bạn cần lưu ý rằng bất kỳ bản vá QEMU nào bảo vệ bạn khỏi lỗ hổng VENOM sẽ yêu cầu bạn khởi động lại máy ảo.

Các quản trị viên hệ thống đang chạy KVM, Xen hoặc QEMU client nên cài đặt các bản vá mới nhất mà nhà cung cấp của họ đưa ra. Tốt nhất bạn nên làm theo hướng dẫn của nhà cung cấp và xác minh ứng dụng cho bản vá VENOM gần đây nhất.

Dưới đây là một số nhà cung cấp đã đưa ra các bản vá cho lỗ hổng VENOM:

• QEMU.
• Red Hat.
• Xen Project.
• Rackspace.
• Citrix.
• Linode.
• FireEye.
• Ubuntu.
• Suse.
• Debian.
• DigitalOcean.
• f5.

Một lựa chọn khác để bảo vệ bạn khỏi lỗ hổng VENOM rõ ràng là sử dụng các hệ thống không có nguy cơ gặp phải loại tấn công này, như Microsoft Hyper-V, VMWare, Microsoft Linode và Amazon AWS. Các hệ thống này an toàn trước các lỗi bảo mật dựa trên VENOM, vì chúng không dễ bị tấn công từ những tội phạm mạng sử dụng lỗ hổng cụ thể đó.