Codequalität

Mit schlechten Beispielen zu höherer Sicherheit

Matthias Reinwarth ist Senior Analyst bei KuppingerCole mit Schwerpunkt auf Identity und Access Management, Governance und Compliance. Er ist im Identity Management-Sektor seit 1993 beratend tätig. Er ist außerdem Co-Autor des ersten deutschen Buches über Verzeichnisdienste im Jahr 1999. Des Weiteren deckt er mit seinen Fachgebieten alle wichtigen Aspekte der IAM einschließlich Technologie und Infrastruktur, Daten- und Berechtigungsmodellierung sowie IAM Prozesse und Governance ab.
Die Älteren unter uns werden sich an die wechselbaren Speichermedien aus den 1970er Jahren, genannt Floppy Disk, erinnern. Mit dem Ende der 1990er Jahre verschwanden sie aus dem Computeralltag. Genau diese seit 15 Jahren praktisch irrelevanten Floppy Discs sind indirekt die Ursache für eine erhebliche Sicherheitslücke in mehreren Virtualisierungsplattformen.

In den vergangenen Wochen wurde durch Jason Geffner von CrowdStrike diese Sicherheitslücke identifiziert, ausführlich dokumentiert und veröffentlicht.

Diese Schwachstelle wurde als Venom, CVE-2015-3456 bezeichnet, wobei "Venom" als Akronym für "Virtualized Environment Neglected Operations Manipulation" steht, das sich frei als "Manipulation vernachlässigter Funktionen in virtualisierten Umgebungen" übersetzen lässt, wobei die Kurzfassung "Venom" aber ebenso kompakt für "Gift" steht.

Die strategische Verankerung von angemessen hohen Sicherheitsanforderungen in jeder Softwarespezifikation ist auch eine Managementaufgabe.
Die strategische Verankerung von angemessen hohen Sicherheitsanforderungen in jeder Softwarespezifikation ist auch eine Managementaufgabe.
Foto: Maksim Kabakou - Shutterstock.com

Alt heißt nicht erprobt

In den Standardkonfigurationen virtueller Maschinen sind bis heute die Treiber für die virtualisierten Hardware-Komponenten, die Floppy Disc Controller, weiterhin aktiviert. Praktisch jede nicht manuell angepasst konfigurierte virtuelle Maschine (VM) in den bedrohten Plattformen hat diesen Treiber im Hypervisor, also in der Kontrollinstanz, aktiviert. Genau diese Treiber sind nun als Träger der Schwachstelle identifiziert worden. Im konkreten Fall bedeutet das, dass ein Administrator aus einer virtuellen Maschine heraus auf den Hypervisor, auf andere dort gehostete Maschinen, auf das zugrundeliegende Host-Betriebssystem unter der Virtualisierungsplattform und damit auf das Netzwerk und verbundene weitere Infrastruktur-Komponenten zugreifen kann.

Venom und damit die Bedrohung der Virtualisierungsplattformen beruht auf eine weitgehenden unveränderten Übernahme einer Open Source-Komponente, dem nicht ausreichend code-geprüften oder getesteten elf Jahre alten QEMU-Floppy Disc Controller-Treiber. Hierdurch sorgte die Verwendung eines vermeintlich als sicher und erprobt geltenden Open Source-Treibers für Schwachstellen in gleich mehreren Produkten. Die Analogie etwa zu Heartbleed und seinen noch immer spürbaren Auswirkungen liegt auf der Hand.

Notwendige, kurzfristige Schritte

Jetzt, da die Schwachstelle offen dokumentiert ist und die Anbieter der betroffenen Virtualisierungsplattformen - darunter Xen, VirtualBox und QEMU - offensichtlich verantwortungsvoll informiert wurden, stehen aktuelle Patches zur Verfügung. Die folgenden Schritte sind für Betreiber wie Nutzer unabdingbar:

  • Betreiber von Virtualisierungsplattformen, die noch nicht auf einem Versionsstand ohne die Venom-Schwachstelle sind, sollten umgehend die aktuellen Patches durchführen.

  • Betreiber von virtuellen Maschinen auf gehosteten Plattformen sollten die Versionsstände der angebotenen Virtualisierungsplattformen prüfen und sich von ihrem Service Provider die durchgeführten Patches zusichern lassen. Eine Überprüfung der virtuellen Maschinen auf unerwünschte Aktivitäten ist ebenfalls geboten.

Inhalt dieses Artikels