攻撃者がゲスト仮想マシン(VM)をすり抜け、そのシステムで稼働している他の VM とホストシステムにアクセスできる新しい脆弱性が見つかり、「VENOM」と名付けられました。VENOM を利用すると、攻撃者は侵入したシステム上のどの仮想マシンからでも重要なデータを盗み出し、昇格した権限でホストのローカルネットワークやそのシステムにもアクセスできる可能性があります。
VENOM 脆弱性(CVE-2015-3456)が存在するのは、オープンソースのハイパーバイザ QEMU 用のフロッピーディスクコントローラです。これは Xen ハイパーバイザ、QEMU クライアント、カーネルベース仮想マシン(KVM)など多くの仮想インフラストラクチャにデフォルトでインストールされます。VMware、Microsoft Hyper-V、Bochs ハイパーバイザは VENOM の影響を受けません。
悪用による被害こそ報告されていませんが、VENOM 脆弱性は 2004 年から存在していました。QEMU の開発者をはじめ、影響を受けるベンダー各社はそれ以来この脆弱性に対するパッチを作成して配布しています。
VENOM の仕組み
クラウドサービスプロバイダの多くは、顧客の VM をデータセンターの同じハードウェア上にホストしていますが、セキュリティを保つように各 VM は相互に隔離されています。クラウドサービスプロバイダへの信頼は、顧客間で相互の VM がアクセスされないように対策しているということが前提ですが、VENOM 脆弱性を利用した攻撃者は、その保護機構をすり抜けて他の VM 上のリソースにアクセスすることができます。
VENOM 脆弱性を告知するために設けられた専用 Web サイトによると、ゲスト VM は仮想化プラットフォームのフロッピーディスクコントローラに、コマンドとそれに関連するデータパラメータを送信できます。このコントローラはコマンドとデータパラメータを格納するために固定サイズのバッファを使っており、すべてのコマンドを完全に処理するとバッファはクリアされると想定されています。ところが、特定の 2 つのコマンドに対しては、フロッピーディスクコントローラがこのバッファリセットを実行できず、それがこの脆弱性を許していることが判明しました。
VENOM 脆弱性の悪用を考えた攻撃者は、クラウドホスティングプロバイダでスペースをレンタルして適切なアカウントを取得すれば、ゲスト VM を介してこのサービスにアクセスできるようになります。そうなったら、この脆弱性を悪用できることが知られている 2 つのコマンドのいずれかを、特別に細工したパラメータとともにフロッピーディスクコントローラに送信すれば、この脆弱性を悪用してバッファオーバーフローを引き起こすことが可能です。こうして悪用に成功すると、攻撃者はシステムで任意のコードを実行できるようになり、後はどんな操作でも実行し放題です。データを盗み出すことはもちろん、自分の VM だけでなく同じシステムにホストされている他の VM にも任意のコードをダウンロードして実行できることになります。
VENOM で予想される影響
フロッピーディスク自体は使われなくなったテクノロジーですが、仮想化製品の多くはデフォルトで VM に仮想フロッピードライブを追加するため、フロッピーディスクコントローラに存在する脆弱性の影響を受けます。脆弱性があるこのテクノロジーがデフォルトで有効になるのは、Xen、QEMU、FireEye のハイパーバイザ、KVM です。Oracle の VirtualBox では、フロッピーディスクコントローラがオプションなので、顧客が VirtualBox をインストールしていてもデフォルトで VENOM の影響を受けることはありません。VMware、Microsoft Hyper-V、Bochs ハイパーバイザについても、VENOM に対して脆弱であるという報告はありません。
すでに、VENOM は Heartbleed より「さらに重大」であるという誇大な表現が広まっていますが、少なくとも規模に関しては、そんなことはなさそうです。Heartbleed の脆弱性は、OpenSSL ライブラリに影響しました。OpenSSL は、SSL(Secure Sockets Layer)と TLS(Transport Layer Security)の暗号プロトコルで普及率がきわめて高いオープンソース実装なので、Heartbleed は膨大な数の Web サイト、アプリケーション、サーバー、仮想プライベートネットワーク、ネットワークアプリケーションに影響しました。一方、VENOM は QEMU のフロッピーディスクコントローラを使っている仮想システムにしか影響せず、普及率の高い一部の VM プラットフォームには影響しません。
VENOM の深刻度が Heartbleed に匹敵するかというと、その答えは状況しだいです。脆弱性のあるシステムを使っており、そこで膨大な重要データを伴う多数のクリティカルなサービスを運用している場合、攻撃は致命的かもしれません。Heartbleed が大きく問題化したのは、脆弱なシステムが広い範囲にわたって多用されていたからです。VENOM は、局所的には深刻であり、Heartbleed 以上の攻撃を許してしまう可能性もありますが、脆弱なシステムの数ははるかに少ないので、全体から見れば問題の深刻度は大きくありません。
最近の調査によれば、クラウドコンピューティングへの支出を増やすという企業は多く、2015 年には平均で 42% 増えるとされており、クラウドテクノロジーに対する信頼の大きさがうかがえます。今回の問題は、そうした企業に再考を促すきっかけになるかもしれません。また、クラウドには懸念されるセキュリティ上の理由がほかにもあることは、シマンテックが最近の研究で明らかにしたとおりです。
軽減対策
幸いなことに、攻撃者がこの脆弱性を悪用しているという報告はまだありません。また、QEMU をはじめとするベンダー各社は、発表より前にこの脆弱性について報告を受けており、問題を修正するパッチを公開しています。
クラウドを利用しているユーザーは、契約先のクラウドプロバイダに連絡して、VENOM 脆弱性に対するパッチを公開しているかどうか確認してください。Xen、KVM、またはネーティブ QEMU クライアントを利用している VM システムの管理者は、できるだけ速やかに VENOM のパッチを適用してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】