ช่องโหว่ VENOM คืออะไร? คุณจะป้องกันตัวเองได้อย่างไร?

ช่องโหว่ VENOM ส่งผลกระทบต่อผู้จำหน่าย CPU รายใหญ่ทั้งหมด รวมถึง Intel, AMD และ ARM VENOM ช่วยให้ผู้ไม่ประสงค์ดีสามารถอ่านเนื้อหาในหน่วยความจำคอมพิวเตอร์และอาจรันโค้ดจากระยะไกลได้

หากคุณมีCPUที่มีช่องโหว่ คอมพิวเตอร์ของคุณอาจตกอยู่ในความเสี่ยง ดังนั้นจึงเป็นเรื่องสำคัญที่จะต้องรู้วิธีป้องกันตัวเองจาก การโจมตีแบบเจาะลึก นี้ !

ช่องโหว่ VENOM คืออะไร?

VENOM ย่อมาจาก Virtualized Environment Neglected Operations Manipulation และเช่นเดียวกับช่องโหว่อื่นๆ ช่องโหว่นี้มีมาระยะหนึ่งแล้ว

รหัสในฐานข้อมูล Common Vulnerabilities and Exposure คือ CVE-2015-3456 ซึ่งหมายความว่าช่องโหว่ดังกล่าวได้รับการเปิดเผยต่อสาธารณะในปี 2558 โดย Jason Geffner นักวิจัยด้านความปลอดภัยอาวุโสของ CrowdStrike ช่องโหว่นี้เปิดตัวครั้งแรกในปี 2547 ส่งผลกระทบต่ออินเทอร์เฟซและอุปกรณ์เสมือนจาก QEMU, KVM, Xen และ VirtualBox ในช่วงเวลานั้นจนกว่าจะได้รับการแก้ไขหลังจากเหตุการณ์ดังกล่าว

ช่องโหว่ VENOM เกิดขึ้นเนื่องจากจุดอ่อนในไดรเวอร์ฟล็อปปี้ดิสก์เสมือนของ QEMU ทำให้ผู้โจมตีทางไซเบอร์สามารถโจมตีโครงสร้างเสมือนได้ รวมถึงเครื่องใดๆ ภายในเครือข่ายข้อมูลที่กำหนด

ช่องโหว่นี้มีผลกระทบสำคัญต่อความปลอดภัยของข้อมูล ซึ่งอาจทำให้เกิดปัญหากับเครื่องเสมือนนับล้านเครื่องที่เสี่ยงต่อการถูกโจมตี โดยทั่วไปจะเปิดใช้งานผ่านการกำหนดค่าเริ่มต้นต่างๆ ที่ให้สิทธิ์ในการรันคำสั่งต่างๆ

หากผู้โจมตีทางไซเบอร์ประสบความสำเร็จในการปฏิบัติงาน พวกเขาสามารถย้ายจากเครื่องเสมือนที่ถูกโจมตีจากด้านข้างและเข้าถึงเซิร์ฟเวอร์เครือข่ายของคุณได้ จากนั้นพวกเขาสามารถเข้าถึงเครื่องเสมือนอื่นๆ บนเครือข่ายได้ นั่นจะทำให้ข้อมูลของคุณมีความเสี่ยงสูงอย่างแน่นอน

ช่องโหว่ VENOM ทำงานอย่างไร

VENOM เป็นช่องโหว่ที่อันตรายมากซึ่งอยู่ภายในฟล็อปปี้ไดรฟ์ของเครื่องเสมือน ดังนั้นผู้โจมตีทางไซเบอร์จึงสามารถใช้ประโยชน์จากช่องโหว่นี้และใช้เพื่อขโมยข้อมูลจากเครื่องเสมือนที่ได้รับผลกระทบ

นั่นหมายความว่าเพื่อให้สามารถดำเนินการบุกรุกได้สำเร็จ ผู้โจมตีจำเป็นต้องมีสิทธิ์เข้าถึงเครื่องเสมือน จากนั้นพวกเขาจะต้องมีสิทธิ์เข้าถึงฟล็อปปี้ไดรเวอร์เสมือน - พอร์ต I/O พวกเขาสามารถทำได้โดยการส่งโค้ดและคำสั่งที่สร้างขึ้นเป็นพิเศษจากเครื่องเสมือนของแขกไปยังไดรเวอร์ฟล็อปปี้ดิสก์ที่ถูกบุกรุก จากนั้นไดรเวอร์ฟล็อปปี้ดิสก์ที่ได้รับผลกระทบจะให้สิทธิ์แก่เครื่องเสมือน ทำให้แฮกเกอร์สามารถโต้ตอบกับเซิร์ฟเวอร์เครือข่ายพื้นฐานได้

ช่องโหว่ของ VENOM ส่วนใหญ่จะใช้ในการโจมตีแบบกำหนดเป้าหมายขนาดใหญ่ เช่น สงครามไซเบอร์ การจารกรรมขององค์กร และการโจมตีแบบกำหนดเป้าหมายประเภทอื่นๆ พวกเขายังสามารถสร้างบัฟเฟอร์ล้นภายในฟล็อปปี้ไดรฟ์ของเครื่องเสมือน หลบหนีจากเครื่องเสมือน และบุกรุกผู้อื่นภายในไฮเปอร์ไวเซอร์ ซึ่งเป็นกระบวนการที่เรียกว่าการเคลื่อนไหวด้านข้าง

นอกจากนี้ ผู้โจมตีอาจได้รับอนุญาตให้เข้าถึงฮาร์ดแวร์ของแพลตฟอร์ม Bare Metal และดูโครงสร้างอื่นๆ ในเครือข่ายไฮเปอร์ไวเซอร์ได้ แฮกเกอร์สามารถย้ายไปยังแพลตฟอร์มอิสระอื่น ๆ และตรวจสอบบนเครือข่ายเดียวกันได้ ด้วยวิธีนี้ พวกเขาสามารถเข้าถึงทรัพย์สินทางปัญญาขององค์กรของคุณและขโมยข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลที่สามารถระบุตัวบุคคลได้ (PII)

พวกเขายังสามารถขโมย Bitcoins ของคุณได้หากคุณมีโทเค็น BTC ในระบบ เมื่อพวกเขาเอาชนะการโจมตีและเข้าถึงเครือข่ายท้องถิ่นของเซิร์ฟเวอร์ได้อย่างไม่จำกัด พวกเขาสามารถให้คู่แข่งเข้าถึงเครือข่ายเซิร์ฟเวอร์ของคุณได้

ระบบใดบ้างที่ได้รับผลกระทบจาก VENOM?

อาชญากรไซเบอร์สามารถถูกโจมตีจาก VENOM ได้อย่างง่ายดายบนระบบต่างๆ มากมาย ระบบที่ถูกโจมตีบ่อยที่สุดด้วยช่องโหว่ VENOM ได้แก่ Xen, VirtualBox, QEMU, Linux, Mac OS X, Windows, Solaris และระบบปฏิบัติการอื่น ๆ ที่สร้างขึ้นบนไฮเปอร์ไวเซอร์ QEMU หรือการจำลองเสมือน

นั่นเป็นปัญหาสำหรับผู้ให้บริการคลาวด์รายใหญ่ เช่น Amazon, Citrix, Oracle และ Rackspace เพราะพวกเขาพึ่งพาระบบเสมือนที่ใช้ QEMU เป็นอย่างมากซึ่งมีความเสี่ยงต่อ VENOM อย่างไรก็ตาม คุณไม่ต้องกังวลมากนัก เนื่องจากแพลตฟอร์มเหล่านี้ส่วนใหญ่ได้พัฒนากลยุทธ์เพื่อปกป้องเครื่องเสมือนจากการโจมตีทางอาญาทางไซเบอร์

ตัวอย่างเช่น ตามข้อมูลของ Amazon Web Services ไม่มีความเสี่ยงที่เกิดจากช่องโหว่ VENOM ที่เกี่ยวข้องกับข้อมูลลูกค้า AWS

วิธีป้องกันตัวเองจากพิษ

หากคุณกังวลว่าข้อมูลของคุณถูกขโมยเนื่องจากช่องโหว่ VENOM ไม่ต้องกังวล มีหลายวิธีในการป้องกันตัวเองจากสิ่งนี้

วิธีหนึ่งที่คุณสามารถป้องกันตัวเองได้คือการใช้แผ่นแปะ เนื่องจากการโจมตีทางไซเบอร์ผ่าน VENOM แพร่หลายมากขึ้น ผู้จำหน่ายซอฟต์แวร์จึงได้พัฒนาแพตช์เพื่อแก้ไขช่องโหว่ด้านความปลอดภัย

ระบบ Xen และ QEMU ซึ่งเป็นระบบที่ได้รับผลกระทบมากที่สุดจากช่องโหว่ VENOM มีแพตช์แยกต่างหากสำหรับสาธารณะ คุณควรทราบว่าแพทช์ QEMU ใด ๆ ที่ปกป้องคุณจากช่องโหว่ VENOM จะทำให้คุณต้องรีสตาร์ทเครื่องเสมือน

ผู้ดูแลระบบที่ใช้ไคลเอนต์ KVM, Xen หรือ QEMU ควรติดตั้งแพตช์ล่าสุดจากผู้ขายของตน ทางที่ดีควรปฏิบัติตามคำแนะนำของผู้จำหน่ายและตรวจสอบแอปพลิเคชันสำหรับแพตช์ VENOM ล่าสุด

ต่อไปนี้คือผู้จำหน่ายบางรายที่ได้ออกแพตช์สำหรับช่องโหว่ VENOM:

• คิวอีมู.
• หมวกสีแดง.
• โครงการเซน.
• แร็คสเปซ
• ซิทริกซ์.
• ลิโนด.
• ไฟร์อาย.
• อูบุนตู
• ซูส.
• เดเบียน
• ดิจิตอลโอเชี่ยน.
• f5.

อีกทางเลือกหนึ่งในการป้องกันตัวคุณเองจากช่องโหว่ VENOM ที่ชัดเจนคือการใช้ระบบที่ไม่เสี่ยงต่อการโจมตีประเภทนี้ เช่น Microsoft Hyper-V, VMWare, Microsoft Linode และ Amazon AWS ระบบเหล่านี้ปลอดภัยจากข้อบกพร่องด้านความปลอดภัยตาม VENOM เนื่องจากไม่เสี่ยงต่อการโจมตีจากอาชญากรไซเบอร์โดยใช้ช่องโหว่เฉพาะนั้น