Se ha comentado mucho sobre la vulnerabilidad VENOM, el más reciente de la cada vez más larga lista de todos los virus que afectan a grandes extensiones de Internet. Es un virus ya conocido del “nuevo” fenómeno de la virtualización.
Las máquinas virtuales son ordenadores operacionales independientes dentro de los propios ordenadores. La llamada nube es una red enorme de máquinas virtuales. Un atacante podría explotar VENOM para escapar de un entorno virtualizado y ejecutar un código en otro.
Algunos de los periodistas más entusiastas o tal vez más sensacionalistas han dicho que VENOM ha tenido más impacto que la vulnerabilidad (ya no tan famosa) Heartbleed (hemorragia de corazón) OpenSSL. Sin embargo, creo que la mejor respuesta fue la del conocido investigador de seguridad, Dan Kaminsky.
En el podcast de Threatpost Digital Underground, Kaminsky le dijo a Dennis Fisher: “Creo que realmente hemos perdido algo al movernos a estos rankings lineales de virus vs. virus. Esto no es Iron Man vs. Capitán América. Esto no son los Vengadores, es ciencia”.
Así es la naturaleza de la industria de la seguridad hoy en día, cuando sale un nuevo virus, se le asigna su propio hashtag, su propio logo y un equipo de relaciones públicas haciéndolo parecer como la peor vulnerabilidad de todos los tiempos.
“Los virus malos existen”, explicó Kaminsky en el podcast. “Siguen siendo malignos pero nos enfrentamos a ellos y salimos adelante… Fue un gran problema pero lo combatimos y lo arreglamos. Las cosas estaban mucho peor; hicimos todo lo que pudimos a escala privada y ahora estamos hablando de ello públicamente para obtener el resto de las cosas. Eso es lo que hacemos. Así es como jugamos”.
#VENOM Flaw in #Virtualization Software Could Lead to VM Escapes, Data Theft – https://t.co/p2CXHhX6Gb
— Threatpost (@threatpost) May 13, 2015
No se trata de quitarle importancia a la gravedad de VENOM, porque sí que es grave. La virtualización y las máquinas virtuales juegan un papel cada vez más crítico e importante en Internet hoy día. Las máquinas virtuales permiten el servicio en la nube, del cual dependen nuestros proveedores de servicios, ahora más que nunca, principalmente porque es más barato comprar espacio virtual, de Amazon por ejemplo, que ejecutar tu propia torre de servidores. De esta manera, un atacante podría comprar espacio de un proveedor de servicio en la nube, escapar del entorno virtual que pagó y moverse a otra máquina virtual que esté operando dentro del mismo host.
Todo lo que necesitas saber sobre la #vulnerabilidad de #virtualización #VENOM
Tweet
Más allá de eso, este virus también podría tener un impacto en los escáneres de malware. La mayoría de analistas infectan máquinas virtuales con malware intencionalmente. Haciendo esto pueden examinar cómo funciona el malware en un entorno seguro. VENOM tiene el potencial de dejar que el malware se salga fuera del entorno en cuarentena y se vaya a otros espacios conectados dentro de la misma red.
Como he mencionado antes, el virus es un antiguo conocido. De hecho, éste existe en el componente controlador del disquete virtual que se incluye en una serie de plataformas populares de virtualización. Así es: el disquete. Siéntete libre de contarnos cuándo fue la última vez que utilizaste uno, y no digamos la última vez que viste un ordenador con una unidad de disquete.
@micahflee pic.twitter.com/bZWwbxgiN7
— Yael @yaelwrites@mastodon.social (@yaelwrites) May 14, 2015
En una entrevista publicada antes del podcast, Kaminsky le comentó a Fisher, de Threatpost, que VENOM es un virus del tipo “paga por jugar”. Un hacker podría comprar un espacio en la nube de un proveedor y explotar VENOM para ganar privilegios locales dentro del espacio de la nube del objetivo que esté utilizando el mismo proveedor. También explicó que algunas empresas que tienen el servicio de la nube ofrecen un aislamiento de hardware mejorado en su versión premium. Asegura que merece la pena pagar la versión premium para tener ventaja sobre los hackers.
VENOM, que por sus siglas en inglés significan Virtualized Environment Neglected Operations Manipulation (en español, Manipulación de Operaciones Descuidadas en un Entorno Virtualizado), fue descubierto por Jason Geffner, un investigador de seguridad senior en CrowdStrike.
Full technical details of VENOM (CVE-2015-3456) vulnerability now live on CrowdStrike's official blog – http://t.co/Pmp6u7mTp3
— Jason Geffner (@JasonGeffner) May 15, 2015
Realmente no hay nada que podamos hacer para protegernos como usuarios, como siempre, solo nos queda tener la esperanza de que nuestro servicio en la nube y otros proveedores de virtualización arreglen el problema lo antes posible. La buena noticia es doble. En primer lugar, los vendedores más afectados ya han desarrollado un parche para este problema, y en segundo, una nueva prueba ha demostrado que VENOM es más difícil de explotar de lo que creían los expertos en un principio.
Several factors mitigate the #Venom bug's utility – http://t.co/eiT6AYVsgG pic.twitter.com/ksUpvwvrOS
— Kaspersky (@kaspersky) May 18, 2015
Desde la perspectiva de un usuario regular de Internet, creo que la verdadera lección es darse cuenta de lo expandida que esta la virtualización online actualmente.