Linux Daily Topics

2015年5月14日 フロッピーの呪いがクラウドに!? 久々の大型脆弱性「VENOM」の影響範囲

この記事を読むのに必要な時間:およそ 1 分

かの「Heartbleed」以来,久しぶりに名前が付けられた脆弱性「VENOM」。5月13日(米国時間),米国のセキュリティ企業CrowdStrikeによって明らかにされたこの脆弱性(CVE-2015-3456)はQEMUの仮想フロッピードライブコントローラ(FDC)のバグに由来するため,Xen,KVM,VirtualBoxといった主だったオープンソースのハイパーバイザに影響が及ぶ。もっとも発表と同時にRed HatやUbuntu/Canonicalといった大手のディストリビュータはこの脆弱性に対応したパッチをリリースしており,XenやKVMを利用するクラウドベンダもほとんどが対応済みだという。

VENOMは攻撃者が仮想マシン上のゲストOS空間をエスケープする手段を与え,悪意のあるコードをホストに対して実行できる可能性をもつ。最悪の場合はホストの先につながっている社内システム(物理環境含む)にまで侵入できる可能性もあるという。なお,VMwareおよびBochsはVENOMの対象外,Microsoft Hyper-VはXenをコアにしているもののエミュレータとしてQEMUを使用していないため対象外となっている。

フロッピーディスクはずいぶん前に使われなくなったのに,なぜ「FDC(フロッピードライブコントローラ)」なるものが存在するのか ─ VENOMを最初に発見したCrowdStrikeのFAQサイトにこんな質問が寄せられていた。オープンソースのエミュレータとして普及しているQEMUは,非常に広範囲のハードウェアを扱えるが,当然ながらフロッピードライブもサポートする。物理的なフロッピードライブは使われなくなったが,仮想フロッピードライブは仮想マシンにとっていまもデフォルトなのだ。

だがこのFDCの脆弱性は,2004年にQEMUにコードベースでマージされたときから存在していたといわれる。VENOMには「ヘビやクモが吐き出す毒物,悪意」といった意味があるが,10年経って,眠っていた毒物がクラウドの世界で覚醒した格好となった。厄介なのは管理者がフロッピードライブを設定から外していても,QEMU自体がFDCを搭載しているため,ユーザ側の設定にかかわりなく脆弱性の影響を受けてしまう点だ。

ただし,CrowdStrikeのリサーチャーがこのバグを発見したのは4月30日。その後,Red HatやOracle,その他のセキュリティコミュニティと密に連絡を取り,脆弱性の発表と同時にパッチが提供されるなど,一般ユーザへの影響が最小限で済むように手が打たれている。逆にVENOMで影響を受けるのは多数のユーザに仮想マシンを提供するクラウドベンダだ。クラウドユーザは自分が契約するクラウドベンダのVENOMに関するアナウンスをチェックしてほしい。なおAWSはこの脆弱性に影響を受けないと発表している。

XSA Security Advisory CVE-2015-3456

著者プロフィール

階戸アキラ(かいとあきら)

起きてからまず海外ニュースサイトのハシゴをしないと1日を始められない海外ニュースウォッチャー。英語は英検準一級の資格を持ち,日本人と話すより英語圏の人のほうがウマが合う。

バックナンバー

Linux Daily Topics

バックナンバー一覧

コメント

コメントの記入