Vulnerabilità su Tecnologia di Virtualizzazione XEN

 

Proto: N010615. 

E’ stata recentemente resa nota una importante vulnerabilità che affligge i sistemi di virtualizzazione basati su tecnologia XEN, utilizzata anche in server Enterprise come Red Hat Enterprise Linux, Fedora o SUSE Linux Enterprise Server. Tale criticità è nota con l’identificativo CVE-2015-3209.

La vulnerabilità riguarda una particolare falla presente nell’implementazione della gestione delle trasmissioni di rete all’interno del driver per l’emulazione di schede “AMD PCNET NIC” che può permettere ad un attaccante con accesso ad uno dei sistemi virtualizzati sulla piattaforma di infettare l’host server, prendendo il controllo dell’intero sistema di virtualizzazione (guest → host escalation).

Il seguente diagramma illustra uno scenario di attacco dove questa vulnerabilità viene sfruttata per ottenere il controllo dell’infrastruttura.

 

Scenario di attacco con sfruttamento vulnerabilità tecnologia di virtualizzazione XEN


A tale proposito il Produttore ha rilasciato il bollettino di sicurezza XSA-135 ed i relativi aggiornamenti di sicurezza per la risoluzione della problematica.

Nel caso in cui la vostra organizzazione utilizzi tale tecnologia, risulta importante verificare che gli host di rete virtualizzati non utilizzino schede di rete “PCNETemulate. In caso contrario Yoroi suggerisce di cambiare il driver di gestione di tali schede di rete tramite gli strumenti di management offerti dalle piattaforme in uso in attesa dell’applicazione degli aggiornamenti di sicurezza nel corso degli interventi di manutenzione schedulati.

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati server. Yoroi consiglia di mantenere alto il livello di consapevolezza dei vostri utenti, avvisandoli periodicamente delle minacce in corso. Yoroi consiglia l’utilizzo di un team di esperti per salvaguardare la sicurezza del perimetro “cyber”.

Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link:
http://www.yoroi.company/yoroi-cyber-security-index#yoroi-cyber-security-index