شاید شنیده باشید که آسیب پذیری VENOM ممکن است بدتر از Heartbleed باشد، اما آیا این درست است؟ VENOM چیست؟ درباره آن چکار میتونید بکنید؟
آسیب پذیری VENOM بر تمام فروشندگان اصلی CPU از جمله Intel، AMD و ARM تأثیر می گذارد. VENOM به عوامل مخرب اجازه می دهد تا محتوای حافظه رایانه شما را بخوانند و به طور بالقوه کد را از راه دور اجرا کنند.
اگر یک CPU آسیب پذیر دارید، ممکن است رایانه شما در معرض خطر باشد، بنابراین بسیار مهم است که بدانید چگونه از خود در برابر این سوء استفاده محافظت کنید!
آسیب پذیری VENOM چیست؟
VENOM مخفف Virtualized Environment Neglected Operations Manipulation است و درست مانند سایر آسیب پذیری ها، مدت زیادی است که وجود داشته است.
کد آن در پایگاه داده مشترک آسیبپذیریها و قرار گرفتن در معرض، CVE-2015-3456 است، به این معنی که حفره امنیتی در سال 2015 توسط جیسون گفنر، محقق ارشد امنیتی CrowdStrike به طور عمومی افشا شد. این نقص که برای اولین بار در سال 2004 معرفی شد، دستگاهها و رابطهای ماشین مجازی QEMU، KVM، Xen و VirtualBox را از آن دوره تا زمانی که پس از قرار گرفتن در معرض قرار گرفتن برطرف شد، تحت تاثیر قرار داد.
آسیبپذیری VENOM به دلیل ضعف در کنترلکننده فلاپی دیسک مجازی QEMU به وجود آمد که به مهاجمان سایبری اجازه میدهد به ساختارهای مجازیسازی، از جمله هر ماشینی در شبکه دادهای داده شده نفوذ کنند.
این آسیب پذیری تاثیر زیادی بر امنیت داده ها دارد. این می تواند با میلیون ها ماشین مجازی در معرض خطر بالقوه بهره برداری چشمگیر باشد. معمولاً از طریق تنظیمات پیش فرض مختلف فعال می شود که اجازه اجرای دستورات مختلف را می دهد.
اگر مهاجمان سایبری با موفقیت فعالیت های خود را انجام دهند، می توانند به صورت جانبی از ماشین مجازی هک شده حرکت کنند و به میزبان شبکه شما دسترسی پیدا کنند. سپس آنها می توانند به سایر ماشین های مجازی موجود در شبکه دسترسی پیدا کنند. این به ناچار داده های شما را در معرض خطر بالایی قرار می دهد.
این اکسپلویت چگونه کار می کند؟
VENOM یک آسیبپذیری بسیار مخرب است که در درایو فلاپی یک ماشین مجازی وجود دارد، بنابراین مهاجمان سایبری میتوانند از این آسیبپذیری سوء استفاده کرده و از آن برای سرقت دادههای ماشینهای مجازی آسیبدیده استفاده کنند.
این بدان معناست که برای انجام موفقیت آمیز اکسپلویت های خود، مهاجمان نیاز به دسترسی به ماشین مجازی دارند. پس از آن، آنها باید مجوز دسترسی به کنترل کننده فلاپی دیسک مجازی – پورت های ورودی/خروجی را به دست آورند. آنها می توانند این کار را با انتقال کدها و دستورات خاص از ماشین مجازی مهمان به کنترل کننده فلاپی دیسک در معرض خطر انجام دهند. سپس کنترلکننده فلاپی دیسک آسیبدیده مجوز ماشین مجازی را فراهم میکند و هکرها را قادر میسازد تا با میزبان شبکه زیربنایی تعامل داشته باشند.
آسیب پذیری VENOM بیشتر در حملات هدفمند در مقیاس بزرگ مانند جنگ سایبری، جاسوسی شرکتی و انواع دیگر حملات هدفمند استفاده می شود. آنها همچنین می توانند یک سرریز بافر در درایو دیسک فلاپی ماشین مجازی ایجاد کنند، از ماشین مجازی خارج شوند و به دیگران در داخل هایپروایزر حمله کنند، فرآیندی که به آن حرکت جانبی می گویند.
علاوه بر این، مهاجمان میتوانند مجوز دسترسی به سختافزار پلتفرم فلزی و مشاهده ساختارهای دیگر در شبکه هایپروایزر را دریافت کنند. هکرها می توانند به دیگر پلتفرم ها و هایپروایزرهای مستقل در همان شبکه حرکت کنند. به این ترتیب، آنها می توانند به مالکیت معنوی سازمان شما دسترسی داشته باشند و اطلاعات حساسی مانند اطلاعات شناسایی شخصی (PII) را به سرقت ببرند.
آنها حتی می توانند بیت کوین شما را بدزدند اگر توکن های BTC در سیستم خود داشته باشید. هنگامی که آنها حمله را پشت سر می گذارند و دسترسی نامحدود به شبکه محلی میزبان شما دارند، می توانند به رقبای شما دسترسی به شبکه میزبان شما را بدهند.
کدام سیستم ها تحت تأثیر ونوم قرار می گیرند؟
VENOM می تواند به راحتی توسط مجرمان سایبری در سیستم های مختلف مورد سوء استفاده قرار گیرد. رایج ترین سیستم های هک شده با آسیب پذیری VENOM عبارتند از Xen، VirtualBox، QEMU، Linux، Mac OS X، Windows، Solaris و هر سیستم عامل دیگری که بر روی هایپروایزر یا مجازی سازی QEMU ساخته شده است.
این برای ارائه دهندگان ابر بزرگ مانند Amazon، Citrix، Oracle و Rackspace مشکل ساز است، زیرا آنها بسیار به سیستم های مجازی مبتنی بر QEMU وابسته هستند که مستعد ابتلا به VENOM هستند. با این حال، لازم نیست زیاد نگران باشید زیرا اکثر این پلتفرم ها استراتژی هایی را برای محافظت از ماشین های مجازی در برابر حملات مجرمان سایبری توسعه داده اند.
به عنوان مثال، طبق خدمات وب آمازون، آسیب پذیری VENOM در مورد داده های مشتری AWS هیچ خطری ندارد.
چگونه از خود در برابر سم محافظت کنیم؟
اگر از سرقت داده های خود به دلیل آسیب پذیری VENOM می ترسید، اینطور نباشید. راه هایی برای محافظت از خود در برابر آن وجود دارد.
یکی از راه هایی که می توانید از خود محافظت کنید استفاده از پچ ها است. هنگامی که حملات سایبری از طریق VENOM به طور خاص گسترده شد، وصلههایی توسط فروشندگان نرمافزار به عنوان ابزاری برای مقابله با آسیبپذیری ایجاد شد.
سیستمهای Xen و QEMU که بیشتر تحت تأثیر آسیبپذیری VENOM هستند، دارای وصلههای جداگانهای هستند که در دسترس عموم قرار دارند. باید توجه داشته باشید که هر پچ QEMU که از شما در برابر آسیبپذیری VENOM محافظت میکند، نیاز به راهاندازی مجدد ماشین مجازی دارد.
توصیه میکنیم مدیران سیستمی که کلاینتهای KVM، Xen یا QEMU را اجرا میکنند، آخرین وصلههای ارائه شده توسط فروشندگان خود را نصب کنند. بهتر است دستورالعمل های آنها را دنبال کنید و برنامه را برای آخرین پچ VENOM تأیید کنید.
در اینجا برخی از فروشندگانی که وصله هایی برای آسیب پذیری VENOM ارائه کرده اند آورده شده است:
- QEMU.
- کلاه قرمز.
- پروژه Xen.
- Rackspace.
- سیتریکس.
- لینود.
- FireEye.
- اوبونتو
- سوزه
- دبیان.
- DigitalOcean.
- f5.
بدیهی است که گزینه دیگری برای محافظت از خود در برابر آسیب پذیری VENOM استفاده از سیستم هایی است که در معرض خطر این سوءاستفاده نیستند، مانند Microsoft Hyper-V، VMWare، Microsoft Linode و Amazon AWS. این سیستم ها از نقص های امنیتی مبتنی بر VENOM ایمن هستند، زیرا در معرض حملات مجرمان سایبری که از آن آسیب پذیری خاص استفاده می کنند، نیستند.
آسیب پذیری VENOM در مقابل Heartbleed
آسیب پذیری قابل توجه دیگری که احتمالاً در مورد آن شنیده اید Heartbleed است. آسیبپذیری Heartbleed یک باگ است که به هکرها اجازه میدهد تا به جاسوسی در ارتباطات اینترنتی، سرقت اطلاعات حساس و ظاهر شدن به عنوان کاربران و خدمات قانونی دسترسی داشته باشند. قبلاً سر و صدای زیادی در مورد بدتر بودن VENOM از Heartbleed وجود داشته است. با این حال، حداقل از نظر بزرگی، بعید به نظر می رسد که درست باشد.
Heartbleed امنیت پروتکل رمزگذاری زیربنایی وب، OpenSSL را به خطر می اندازد، یکی از پرکاربردترین پیاده سازی های پروتکل های رمزنگاری Secure Sockets Layer (SSL) و Transport Layer Security (TLS). از سوی دیگر، Venom پلتفرمهای مجازیسازی را هدف قرار میدهد و ارائهدهندگان ابر و مشتریان آنها را به خطر میاندازد.
آسیب پذیری زهر: سگ بی دندان یا سم سمی؟
VENOM یک نقص امنیتی است که خطر بزرگی برای سیستم های داده به ویژه برای ارائه دهندگان خدمات ابری به همراه دارد. این آسیبپذیری دسترسی مهاجمان سایبری را برای هک کردن فلاپی دیسکهای مجازی ماشینهای مجازی فراهم میکند و به آنها دسترسی جانبی بیشتری به سایر سیستمها و ماشینهای مجازی در شبکه میدهد. خوشبختانه، در حال حاضر وصله هایی برای جلوگیری از این نقص در دسترس هستند.