Nouvelle vulnérabilité dans Qemu
Après Venom, une vulnérabilité affecte Qemu, cette fois-ci via son émulateur d’interface réseau PCNET. De quoi attaquer l’hôte avec les privilèges accordés au processus Qemu.
Une nouvelle vulnérabilité affecte Qemu, ou plutôt son émulateur d’interface réseau, PCNET. Son exploitation, basé sur l’envoi d’une trame réseau taillée sur mesure, permet à un attaquant d’accéder à la machine hôte avec les privilèges accordés au processus Qemu pour son exécution, en provoquant un dépassement de mémoire tampon.
La bonne nouvelle est que la configuration par défaut des déploiements Xen n’est pas affectée. Mais tous ceux impliquant des machines virtuelles utilisant des interfaces réseau émulées basées sur PCNET sont affectés.
Concerné, Xen est désormais disponible en version 4.5.1, embarquant un correctif pour cette vulnérabilité référencée XSA-135. Il s’agit de la seconde vulnérabilité majeure affectant Qemu et dévoilée au cours de ce premier semestre.
Courant mai, Jason Geffner, chercheur en sécurité chez Crowdstrike, avait mis le doigt sur Venom. Touchant au code utilisé pour l’émulation d’un lecteur de disquettes, cette vulnérabilité « pourrait permettre à un attaquant de s’échapper du confinement d’une machine virtuelle affectée et potentiellement d’obtenir l’accès à l’exécution de code sur l’hôte » physique. De là, l’attaquant pourrait alors accéder « aux autres machines virtuelles exécutées sur cet hôte », voire aux « systèmes adjacents » et au réseau.
Une menace comparable à celle que présente la vulnérabilité XSA-135. Quoique l’exploitation de cette dernière, à travers le réseau et sans avoir à s’infiltrer sur une machine virtuelle affectée, peut s’avérer encore plus simple.