El Proyecto Xen ha corregido tres vulnerabilidades en su hipervisor ampliamente utilizado que podrían permitir que los sistemas operativos que se ejecutan dentro de máquinas virtuales accedan a la memoria de los sistemas host, rompiendo la capa crítica de seguridad entre ellos..
Dos de las vulnerabilidades parcheadas solo pueden explotarse bajo ciertas condiciones, lo que limita su uso en posibles ataques, pero una es una falla altamente confiable que representa una seria amenaza para los centros de datos de múltiples inquilinos donde los servidores virtualizados de los clientes comparten el mismo hardware subyacente..
Las fallas aún no tienen números de seguimiento CVE, pero están cubiertas en tres avisos de seguridad de Xen llamados XSA-213, XSA-214 y XSA-215.
"XSA-213 es un error fatal y confiablemente explotable en Xen", dijo el equipo de seguridad de Qubes OS, un sistema operativo que aísla aplicaciones dentro de máquinas virtuales Xen. "En los casi ocho años de historia del proyecto Qubes OS, nos hemos dado cuenta de cuatro errores de este calibre: XSA-148, XSA-182, XSA-212 y ahora XSA-213".
De estas cuatro vulnerabilidades altamente críticas y fáciles de explotar, tres han sido encontradas y reparadas en los últimos 10 meses y dos en el último mes: XSA-182 fue reparado en julio de 2016, XSA-212 en abril y XSA-213 el martes.
Otra característica común es que todos ellos afectaron la virtualización de memoria Xen para máquinas virtuales paravirtualizadas (PV). Xen admite dos tipos de máquinas virtuales: máquinas virtuales de hardware (HVM), que usan virtualización asistida por hardware, y máquinas virtuales paravirtualizadas que usan virtualización basada en software.
Las otras dos fallas parcheadas el martes, XSA-214 y XSA-215, también afectan a las máquinas virtuales paravirtualizadas. La diferencia es que XSA-214 requiere que dos máquinas virtuales invitadas maliciosas trabajen juntas para acceder a la memoria del sistema, mientras que XSA-215 solo afecta a "sistemas x86 con memoria física que se extiende a un límite dependiente de la configuración de 5 TB o 3.5 TB".
Una limitación para XSA-213 es que solo puede explotarse desde invitados PV de 64 bits, por lo que los sistemas que ejecutan solo invitados HVM o PV de 32 bits no se ven afectados.
Los desarrolladores de Xen lanzaron parches para Xen 4.8.x, Xen 4.7.x, Xen 4.6.xy Xen 4.5.x que se pueden aplicar manualmente a los sistemas afectados..
El hipervisor de código abierto Xen es utilizado por muchos proveedores de computación en la nube y empresas de alojamiento de servidores privados virtuales (VPS), algunos de los cuales recibieron los parches por adelantado y se vieron obligados a programar tiempos de inactividad de mantenimiento.
Por ejemplo, el proveedor de VPS Linode tuvo que reiniciar algunos de sus hosts Xen PV heredados para aplicar la solución y aconsejó a los clientes que se mudaran a sus servidores basados en HVM para evitar futuros tiempos de inactividad.
Mientras tanto, Amazon Web Services dijo que los datos y las instancias de sus clientes no se vieron afectados por estas vulnerabilidades y no se requirió ninguna acción del cliente.
El equipo de Qubes OS, que se enorgullece de construir uno de los sistemas operativos de escritorio más seguros, ha tenido suficiente para lidiar repetidamente con las vulnerabilidades de Xen PV. Es por eso que, en los últimos 10 meses, se ha puesto un trabajo adicional para cambiar la próxima versión del sistema operativo, Qubes 4.0, a HVM.
"Originalmente esperábamos que pudiéramos hacer la transición para ejecutar todas las máquinas virtuales de Linux en el llamado modo PVH de virtualización, donde el emulador de E / S no es necesario en absoluto, pero resultó que el kernel de Linux no está listo para esto". El equipo de Qubes dijo en un análisis de los últimos parches Xen. "Entonces, en Qubes 4.0, usaremos el modo clásico de HVM, donde el emulador de E / S está encerrado en ... un PV VM (que también es el caso cuando uno ejecuta Windows AppVMs en Qubes 3.x)".
La buena noticia es que la base está lista para cambiar Qubes a PVH en el futuro cuando el kernel de Linux agregue el soporte necesario, e incluso para reemplazar Xen completamente por otra cosa, si aparece una mejor alternativa.
Únase a las comunidades de Network World en Facebook y LinkedIn para comentar temas que son lo más importante.
