كل ما تحتاج إلى معرفته عن ثغرة فينوم الخبيثة

قيل الكثير عن ثغرة فينوم، وهي من أحدث الثغرات ضمن سلسلة المشاكل الأخيرة، وتنتمي هذه الثغرة إلى المدرسة القديمة من الثغرات والمشاكل.

والآلات الافتراضية هي آلات حاسوب تعمل بشكل مستقل داخل أجهزة الحاسوب، ضمن شبكة آلات افتراضية واسعة. ويتمكن المهاجم من نشر ثغرة فينوم للهرب من بيئة افتراضية، وتشغيل الرمز ضمن محيط آخر.

ووصف أحد الصحفيين ثغرة فينوم بأنها أكثر تأثيراً من ثغرة المصدر المفتوح “نزيف القلب”، إلا أنني أعتقد بأن أفضل رد جاء من الباحث الأمني، دان كامينسكي.

“أعتقد بأنه من غير المنطقي مقارنة المشاكل ببعضها البعض بهذا الشكل”، قال كامينسكي لدينيس فيشر أثناء بودكاست على موقع ثريت بوست. “الأمر ليس أشبه بمقارنة الرجل الحديدي ضد كابتن أمريكا، فهذه ليست حرب أبطال أفنجرز، إنما الأمر يتعلق بالعلم”.

وهكذا الحال مع ظهور كل ثغرة جديدة، حيث تنتشر على المواقع الإعلامية، ويبدأ الصحفيون بتصنيفها بأنها أسوأ وأخطر ثغرة ظهرت على الإطلاق.

وأضاف كامينسكي: “تظهر الثغرات السيئة، إلا أننا نتعامل معها، حيث أنها تبدأ بالظهور كمشكلة كبيرة، إلا أننا ننجح بمواجهتها وأخيراً معالجتها، وكنا نقوم بهذا الأمر بشكل خاص، إنما الآن فكل شيء يحصل على العلن”.

#VENOM Flaw in #Virtualization Software Could Lead to VM Escapes, Data Theft – https://t.co/p2CXHhX6Gb

— Threatpost (@threatpost) May 13, 2015

وليس الهدف من هذا النقاش التقليل من أهمية ثغرة فينوم، إذ أنها ثغرة حادة فعلاً، حيث تلعب الآلات الافتراضية دوراً مهماً في عالم الإنترنت الحديث، وتتيح الآلات الافتراضية للحوسبة السحابية، والتي يعتمد عليها مزودو خدمتنا أكثر من أي وقت مضى، لأن شراء مساحة افتراضية من أمازون على سبيل المثال يعتبر رخيص الثمن أكثر من قيامك بتشغيل خادمك الخاص. وبهذه الطريقة، يتمكن المهاجم القادر من شراء مساحة من مزود خدمة سحابية، والهرب من البيئة الافتراضية، والانتقال إلى أي آلة افتراضية عاملة أخرى ضمن نفس المضيف.

كل ما تحتاج إلى معرفته عن #ثغرة فينوم

Tweet

وإضافة إلى ذلك، فقد تؤثر هذه الثغرة على أدوات اختبار البرمجية الخبيثة أيضاً، حيث أن معظم محللي البرمجيات الخبيثة حول العالم يقومون بزرع البرمجيات الخبيثة داخل الآلات الافتراضية. ومن هناك، يستطيعون اختبار كيفية عمل البرمجية الخبيثة ضمن بيئة آمنة. وتمتلك ثغرة فينوم القدرة على جعل البرمجية الخبيثة تنتقل من البيئة المنعزلة إلى مساحات أجهزة كمبيوتر متصلة.

وكما ذكر سابقاً، فالمشكلة قديمة العهد، وفي الواقع فقد كانت موجودة ضمن مكونات فلوبي ديسك، والذي تضمن عدداً من المنصات الافتراضية.

@micahflee pic.twitter.com/bZWwbxgiN7

— Yael Grauer (@yaelwrites) May 14, 2015

وفي مقابلة نشرت قبل البودكاست، أخبر كامينسكي دينيس فيشر بأن ثغرة فينوم هي من نوع ادفع كي تلعب، حيث يستطيع المهاجم شراء مساحة سحابية من مزود ثم نشر ثغرة فينوم لاكتساب صلاحيات محلية ضمن المساحة السحابية للهدف باستخدام نفس المزود. وتوفر بعض الشركات السحابية عزلاً متقدماً للأجهزة، ويقول بأنه يفضل دفع المبالغ لهذه الشركات مقابل تفادي الهجمات المحتملة.

وتم اكتشاف ثغرة فينوم من قبل جيسون جيفينر، وهو باحث أمني في كراود سترايك.

Full technical details of VENOM (CVE-2015-3456) vulnerability now live on CrowdStrike's official blog – http://t.co/Pmp6u7mTp3

— Jason Geffner (@JasonGeffner) May 15, 2015

وليس هناك شيء يمكننا فعله، نحن المستخدمون، لحماية أنفسنا باستثناء الأمل بأن تقوم خدمتنا السحابية وغيرها من مزودات الخدمات الافتراضية بإصلاح المشكلة بأسرع وقت. والأخبار الجيدة أن المزودين المتأثرين أصدروا بالفعل نسخة لحل المشكلة، كما صدرت أدلة تؤكد صعوبة نشر ثغرة فينوم بالشكل الذي اقترحه الباحثون في البداية.

Several factors mitigate the #Venom bug's utility – http://t.co/eiT6AYVsgG pic.twitter.com/ksUpvwvrOS

— Kaspersky Lab (@kaspersky) May 18, 2015