2015年5月は、システム基盤に関連する大きめの脆弱性があれこれ出て来て、慌てふためいたシステム管理者も多かったことと思います。そんな状況を創りだしたものや、その他興味深い脆弱性を示したものを今月は紹介していきます。
VENOM-QEMUの仮想フロッピードライブコントローラに存在する脆弱性
VENOMはCrowdStrikeによって発見・報告された脆弱性であり、正式名称は、“Virtualized Environment Neglected Operations Manipulation”となります。CVE番号は、CVE-2015-3456が採番されています。
脆弱性概要
この脆弱性は、QEMUの仮想フロッピードライブコントローラに存在する脆弱性です。この脆弱性を通じて、最悪の場合は仮想マシンインスタンスを動作させているプラットフォームの権限を奪取することが可能とされていますが、いまのところはインスタンスをクラッシュさせるレベルで終わっているようです。もちろん油断は出来ませんが。
筆者も最初勘違いしていたのですが、仮想フロッピードライブをQEMUで使わなかったとしても、仮想フロッピードライブコントローラのコードそのものがQEMUの実行モジュールから削除されるわけではないため、この脆弱性の影響を受けることになります。以下はVENOMに関する短いPoCです。
脆弱性を悪用する条件
当然、この脆弱性を悪用するためには、仮想フロッピードライブコントローラにQEMU上からアクセスできることが必須となります。このため、脆弱性があるQEMU由来の仮想マシンインスタンス上で、ハードウェアアクセスを行うための権限を有することが必須となります。具体的には、仮想マシンインスタンス上でroot権限やAdministrator権限を有することが必須になります。
脆弱性の影響範囲
困ったことに、QEMU由来の仮想マシンモニタは、よく使われる仮想マシンモニタのベースとして使われていることが多く、影響範囲が広範囲に及びます。例えば、Xen 3.0以降で利用可能なHVMドメインは、QEMUベースの仮想ハードウェアが提供されますし、KVMでも同じくQEMUベースの仮想ハードウェアが提供されます。
筆者がよく利用するサービスプロバイダでも、VENOMの影響と思われるメンテナンスが行われています。
対応方法~バージョンアップして根本をなくすか、影響を最小限に留める運用
本件脆弱性の対応方法ですが、影響を受けるソフトウェアのバージョンアップを行うのが最も簡単かつ確実に対応できる方法となります。しかし、バージョンアップを行うのも各種確認を伴うため、sVirtやseccompなどの機能を使えるLinuxディストリビューションであれば、それらの機能を使うことで、影響を最小限に留められる可能性があります.
セキュリティ・キャンプ全国大会2015、現在参加者募集中! 締切は2015年6月22日17時
セキュリティ・キャンプ全国大会2015の参加者募集が5月中旬から開始されています。本稿が掲載されるころには、応募締切(6月22日(月)17:00)まであと数日と迫っていることと思います。
セキュリティ・キャンプって?
以下のURLから、実施の目的などを読めますが、簡単に言うと「セキュリティ分野において、傑出した実力を発揮してくれそうな若手(22歳以下の学生)を発掘し、伸びるためのきっかけを渡していく」というご理解で概ね間違いはないでしょう。現在は、セキュリティ・キャンプ実施協議会と独立行政法人情報処理推進機構が協力して企画・運営を行っています。
今年の特色は?
あらゆる分野で活躍する方々が講師として関わるのは変らないのですが、今年の特色は「トラック制を採用し、講義や演習を選択する自由度が増した」&「それにともない、講師の数がさらに増加した」ということでしょう。これまでの参加者から講師になった人数も、今年は増えています。
必要なのは? ~やる気は必要だが、やる気をどう見せるか? が大事
この種類の取組は、参加するために「やる気を見せて」というのがほとんどです。以前筆者は「やる気はある。だから参加させてくれ」とだけ書かれた応募用紙を見て途方にくれたことがあります。「やる気をはかる」ために応募用紙の設問を作成しているのに、こちらの意図や考えは見てくれないというのはすでに「参加できなくてもしょうがない」と言ってるに等しいです。
応募する人は、「やる気を示す内容」を送り、それを見た人に「この人には是非来てもらいたい」と思わせればいいだけです(って、それが難しいのですが)。締切までほとんど日数がありませんが、もし興味があるのであれば、参加を検討してみてください(応募を出来るのは22歳以下(厳密な条件は、応募要項をご覧ください)に限りますが)。