“Lo bueno es que descubrimos esto antes de que la gente malintencionada lo hiciera”, dice Jason Geffner, el investigador de seguridad sénior que encontró el error. CrowdStrike denominó a esta vulnerabilidad Virtualized Environment Neglected Operations Manipulation (VENOM). La falla está en el controlador de disco flexible virtual de Quick Emulator (QEMU), un hipervisor gratuito de código abierto. Éste es otro ejemplo de código heredado, poco usado, pero activo de forma predeterminada (como un controlador de discos flexibles) que es manipulado para uso malicioso. Parte del código de QEMU, incluido el bit de vulnerabilidad, ha sido usado por otras plataformas de virtualización, como las populares Xen y la máquina virtual basada en kernel (KVM), que se utilizan a menudo en la infraestructura como servicio; además de Oracle VM VirtualBox, usado comúnmente en entornos de desarrollo de prueba. De modo que cientos o miles de productos que usan tecnología de virtualización (en servidores, clientes, dispositivos y en la nube) son vulnerables a VENOM. Como la mayoría de los hipervisores operan con acceso raíz a la máquina anfitriona, el daño potencial es severo. Es el tipo de escenario de pesadilla que ha ocasionado que algunas organizaciones eviten la nube y la virtualización por completo (poniendo todos sus huevos en una canasta cuestionablemente segura y, quizá compartiendo espacio de servidor con un cibercriminal). Por esa razón, CrowdStrike declaró a VENOM como una vulnerabilidad crítica. La compañía ha trabajado con QEMU y, a través de ellos, con otros proveedores afectados en una versión coordinada de parche. El CTO y cofundador de CrowdStrike, Dmitri Alperovitch, hace hincapié en que las empresas deben consultar a sus proveedores de la nube para asegurarse de que ya hayan emitido el parche, y actualizar sus aplicaciones on-premise y dispositivos, de inmediato. “Obviamente es un gran riesgo para las operaciones on-premise”, dice Geffner, “porque suele tomarle meses” a las compañías reparar las vulnerabilidades por completo. Aunque quizá VENOM legitime las preocupaciones sobre los peligros de que los atacantes se salgan de una instancia de nube pública y accedan a las nubes de otros clientes, la versión de parche coordinada parece darle la razón a los proveedores cloud que insisten en que pueden realizar un trabajo más eficiente, en términos de seguridad, que las organizaciones individuales. Como quiera que sea, Geffner dice que “las organizaciones pueden sentir un gran alivio porque estos hallazgos de seguridad son raros en extremo… y no se explotan tan ampliamente”. Al igual que Heartbleed y ShellShock antes de éste, VENOM es una vulnerabilidad severa de gran alcance en una herramienta de código abierto… pero peor, según los investigadores. Alperovitch lo describe así: Heartbleed permitiría a un atacante asomarse a través de las ventanas de su casa; Shellshock los dejaría entrar en su casa; VENOM les da acceso total a todo lo que hay en su casa, incluyendo todos sus objetos de valor bajo llave, y, dice Geffner, “a un túnel subterráneo donde pueden acceder a las casas de todos sus vecinos”. Vulnerabilidades como VENOM pueden traer de vuelta algunos temores sobre la seguridad en la nube, pero eso no quiere decir que ralentizará la adopción de esta plataforma. “Todo se está moviendo a la nube”, dice Dan Kaminsky, científico en jefe de White Ops, quien colaboró con CrowdStrike en VENOM. “Incluso Zynga está cerrando su centro de datos de $100 millones de dólares porque es mejor implementar en minutos que en meses”, advirtió. “Hay un costo para este movimiento a la nube, y es que los atacantes que alguna vez necesitaron buscar una vulnerabilidad para explotar, pueden obtener cierto grado de privilegio local usando dinero. Mucho de lo que sucede en el código aísla las máquinas virtuales pero, como sucede con todo el código, hay riesgo de errores. Muchos proveedores cloud ofrecen aislamiento mejorado de hardware, de tal forma que como mínimo sólo estará expuesto a otras máquinas virtuales de su propia organización”, asevera Kaminsky. Para más información acerca de VENOM, visite el sitio http://venom.crowdstrike.com