[해외보안동향] VENOM, 가상 플로피 드라이브 코드의 보안 취약점 주의

VENOM, 가상 플로피 드라이브 코드의 보안 취약점 주의

VENOM – VIRTUALIZED ENVIRONMENT NEGLECTED OPERATIONS MANIPULATION

VENOM, CVE-2015-3456은 많은 가상 컴퓨터 플랫폼에서 이용되는 가상 플로피 드라이브 코드의 보안 취약점입니다. 이 취약점은 공격자가 감염된 가상 머신(VM)의 게스트 범위에서 벗어나 호스트 시스템에서 코드 을 실행할 수 있습니다. 또한 해당 호스트에서 동작하는 다른 모든 VM에 공격자들이 호스트의 로컬 네트워크 및 가까운 시스템들에도 접근할 수 있도록 허용합니다.

VENOM 취약점이 악용될 경우, 기업의 지적 재산(IP: Intellectual Property) 및 개인 인식 정보(PII: Personally Identifiable Information) 대한 접근이 노출될 가능성이 있습니다. 또한 공유 컴퓨팅 자원의 할당, 연결, 스토리지, 보안 및 프라이버시를 위해 가상 머신을 이용하는 수천 개의 조직과 수백만의 사용자들에게도 영향을 미칠 수 있습니다.

이미지 출처: http://venom.crowdstrike.com/

취약점 상세 내용

※ VENOM 취약점이란?

게스트 OS는 가상 플로피 디스크 컨트롤러(FDC)의 input/output 포트로 seek, read, write, format 등의 명령을 보내 FDC와 통신합니다. QEMU의 가상 FDC는 이러한 명령어들과 데이터 파라미터들을 저장하기 위해 고정된 사이즈의 버퍼를 사용합니다. FDC는 각각의 명령어에 얼마나 많은 데이터가 필요한지 파악합니다. 그리고 게스트 OS로부터 주어진 명령어에 필요한 데이터들을 전달받으면 명령을 실행하고 다음 명령을 위해 버퍼를 리셋합니다. 이는 미리 정의된 두 개의 명령어들을 제외한 모든 FDC 명령어들의 처리가 완료된 후 실행됩니다. 공격자는 데이터 버퍼를 오버플로우시키고 호스트의 하이퍼바이저 프로세스에서 임의코드를 실행하기 위해 해당 명령어 및 파라미터 데이터를 FDC로 전송합니다.

※ 플로피 드라이브는 구식인데도 불구하고 왜 아직 취약한가?

영향을 받는 많은 가상화 제품 중 가상 플로피 드라이브는 새로운 가상 머신에 디폴트로 추가됩니다. 또한 Xen 및 QEMU의 경우, 관리자가 가상 플로피 디스크 코드를 비활성화하더라도 전혀 상관없는 버그로 인해 여전히 문제의 코드에 접근할 수 있다는 우려가 있습니다. 그러나 아직 이를 악용한 사례는 밝혀진 바 없습니다.

※ 기존의 VM 탈출 취약점과 VENOM의 차이점

과거에 발견된 대부분의 VM 탈출 취약점들은 디폴트 설정이 아니거나 안전한 환경이 아닌 경우에만 악용이 가능했습니다. 또한 하나의 가상화 플랫폼에만 적용이 되었으며 직접 임의코드를 실행하는 것이 허용되지 않았습니다. 그러나 VENOM (CVE-2015-3456)의 경우 넓은 범위의 가상화 플랫폼에서도 적용할 수 있으며 디폴트 설정에서도 동작합니다. 또한 직접 임의코드를 실행할 수 있다는 점에서 기존 취약점들과 다르다고 할 수 있습니다.

※ POC

#include <sys/io.h>

#define FIFO 0x3f5

int main() {

        int i;

        iopl(3);

        outb(0x0a,0x3f5); /* READ ID */

        for (i=0;i<10000000;i++)

                outb(0x42,0x3f5); /* push */

}

영향을 받는 제품

해당 버그는 QEMU의 FDC에 존재합니다. 이 취약한 FDC 코드는 수 많은 가상 플랫폼 및 기기에 사용되고 있으며 특히 Xen, KVM, 및 QEMU에 사용됩니다. VMware, Microsoft Hyper-V, Boches 하이퍼바이저는 이 취약점에 영향을 받지 않습니다. 

       

VENOM 취약점이 하이퍼바이저의 코드베이스에 존재하므로 해당 취약점은 호스트의 OS의 종류(Linux, Windows, Mac OS 등)와 상관없이 악용될 수 있으며 게스트 OS의 종류에도 영향을 받지 않습니다. 따라서 공격자(또는 공격자의 멀웨어)는 VENOM 취약점을 악용하기 위해 관리자 권한이나 루트 권한이 필요합니다.

대응 방안

CrowdStrike는 2015년 4월 30일 QEMU, XEN, Oracle, Operating System Distribution Security에 해당 취약점에 대한 내용을 전달했습니다. 그리고 5월 13일 VENOM에 대한 사실을 사용자들에게 공개했으며 해당 취약점을 가능한 빨리 패치하도록 권장하고 있습니다.

※ 패치 버전을 발표한 업체

QEMU: http://git.qemu.org/?p=qemu.git;a=commitdiff;h=e907746266721f305d67bc0718795fedee2e824c

Xen Project: http://xenbits.xen.org/xsa/advisory-133.html

Red Hat: https://access.redhat.com/articles/1444903

Citrix: http://support.citrix.com/article/CTX201078

FireEye: https://www.fireeye.com/content/dam/fireeye-www/support/pdfs/fireeye-venom-vulnerability.pdf

Linode: https://blog.linode.com/2015/05/13/venom-cve-2015-3456-vulnerability-and-linode/

Rackspace: https://community.rackspace.com/general/f/53/t/5187

Ubuntu: http://www.ubuntu.com/usn/usn-2608-1/

Debian: https://security-tracker.debian.org/tracker/CVE-2015-3456

Suse: https://www.suse.com/support/kb/doc.php?id=7016497

DigitalOcean: https://www.digitalocean.com/company/blog/update-on-CVE-2015-3456/

f5: https://support.f5.com/kb/en-us/solutions/public/16000/600/sol16620.html

      

Xen, KVM, QEMU 클라이언트를 사용하는 시스템 관리자라면 최신 패치를 검토하고 적용해야 합니다. 만약 벤더 서비스를 이용 중이거나 감염된 하이퍼바이저 중 하나를 사용하고 있는 기기라면 해당 업체의 지원팀에 연락하여 그들이 최신 VENOM 패치를 제공하는지 확인해야 합니다.

참고:

http://venom.crowdstrike.com/