「Heartbleed」が世界を震撼させて1年が経とうとする今、新たな脆弱性「VENOM」が再び世界を揺るがそうとしている。
セキュリティ企業CrowdStrikeが極めて危険性の高いゼロデイ脆弱性を新たに発見した。「VENOM(Virtualized Environment Neglected Operations Manipulationの略)」と名付けられたこの脆弱性を悪用されると、仮想マシンを運用するデータセンター全体の制御を内部から奪われる恐れがある。
VENOMは仮想フロッピーディスクコントローラという、仮想化ソフトウェア内のレガシーコンポーネントに発見された。これはレガシーコンポーネントではあるが、一部の広く普及している最新の仮想化ソフトウェアにも搭載されている。オープンソースのエミュレータ「QEMU」に端を発するこの脆弱性は、実は2004年から存在していた。セキュリティ研究者のDan Kaminsky氏は、このようなレガシーコンポーネントには誰も目を向けないため、10年以上も脆弱性が見過ごされてきたのではないかと述べている。VMware、Hyper-V、Bochsはこの脆弱性の影響を受けないとみられるが、「Xen」「KVM」「VirtualBox」など、広く普及している仮想化ソフトウェアの一部はこのレガシーコンポーネントを搭載しており、攻撃に対して脆弱な状態である。
今日のデータセンターでは、顧客企業のシステムは規模の大小を問わず仮想マシン内で稼働されている。各仮想マシンはリソースを共有するよう設計されているが、仮想マシンを駆動するハイパーバイザ上では、各仮想マシンは独立した要素として動作している。しかしこの脆弱性により、攻撃者は自身の仮想マシンの境界線を突破し、ホストにアクセスしてコードを実行できる可能性がある。ホストシステムと、そのホスト上で稼働する他の顧客の仮想マシンにアクセスできるようになる可能性がある。さらに、データセンターのネットワークに接続されている全デバイスの制御を攻撃者に掌握される可能性がある。
脆弱性を発見したCrowdStrikeの研究者であるJason Geffner氏によると、影響を受ける仮想マシンは全世界で膨大な数に及ぶ可能性があるという。同氏は分かりやすいたとえ話として、「Heartbleedが窓から家の中を覗き込んで情報を収集するような攻撃だとすれば、VENOMは近隣の家すべてに押し入るような攻撃だ」と述べている。
攻撃者が脆弱性を悪用するためには、まずrootなどの高度な権限で仮想マシンにアクセスする必要があるが、Geffner氏によれば、標的のクラウドサービスから仮想マシンをレンタルし、そこを足掛かりにハイパーバイザを攻撃するのは簡単だと述べている。
CrowdStrikeは、仮想化ソフトウェアの各ベンダーが、脆弱性の情報が開示される米国時間5月13日までにパッチを用意できるように支援していたと述べている。同社によると、多くのベンダーは独自のハードウェアとソフトウェアを提供しているので、基本的には数千の対象システムにもダウンタイムなしで自動的にパッチを適用できるという。しかしパッチを自動的に適用できないシステムを運用しているデータセンターは、影響が懸念される。
関連各社は既に対応を始めている。QEMUの修正は現在、ソースコードで提供されている。Xenはx86仮想マシンを稼働させている全てのXenシステムが脆弱性の影響を受けるとして、Xen 4.2.xとそれ以降を対象とする修正をリリースした。
「Red Hat Enterprise Linux(RHEL)」は、全てのバージョンで攻撃を受ける可能性がある。Red Hatはシステム管理者に対し、「yum update」または「yum update qemu-kvm」コマンドを使ってシステムをアップデートするよう推奨している。その後、ゲスト(仮想マシン)を「パワーオフ」した上で改めて起動する必要がある。再起動するだけでは古いQEMUバイナリが使われてしまうため、不十分だという。
Debianのパッチ進捗(しんちょく)状況は、Debianのセキュリティトラッカーサイトで公開されている。Ubuntuはパッチの手順を公開している。
SUSE Linuxも脆弱性の影響を受けるが、SUSE Cloudは影響されない。SUSEはまだVenomへの修正を準備中だ。
OracleはVirtualBoxへの修正をまだリリースしていない。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
