2015年5月13日(現地時間)、米国のセキュリティベンダー「Crowdstrike」のリサーチャーが、オープンソースの仮想環境プラットホーム「QEMU(キューエミュ)」の仮想フロッピーディスクコントローラ(FDC)に潜在していた脆弱性「VENOM(ベノム)」を明らかにしました。この脆弱性には「CVE-2015-3456」の CVE番号が採番されており、内容的には、仮想マシンのゲストOS 上で特定のコマンドを実行することで、ハイパーバイザのホストOS で任意のコードを実行できる可能性がある、というものです。つまり、1つの仮想マシン経由でそのハイパーバイザ、そしてハイパーバイザ上で稼働しているすべての仮想マシンを不正プログラムに感染させる、などの攻撃ができる可能性があります。例えば、仮想サーバレンタルのクラウドサービスを標的とした場合、攻撃者は自身でサーバ環境をレンタルした上で攻撃コードを実行することで、ハイパーバイザや他の仮想サーバを侵害する、という攻撃シナリオも考えられます。成功すれば非常に危険な脆弱性ですが、現在のところ、この脆弱性を利用した攻撃は確認されていません。また、Redhat などのベンダでは、この脆弱性の最悪のシナリオであるハイパーバイザ上での任意コード実行が確認できていないとの情報もあります。
この脆弱性を公表した Crowdstrike によれば、QEMU、Xen Project、Red Hat、Citrix、FireEye、Linode、Rackspace などの仮想環境プラットホームやサンドボックスがこの脆弱性の影響を受けるとしています。ただし、真にこの脆弱性の影響範囲を特定することは非常に困難です。この脆弱性はフロッピーディスクというレガシーデバイスのエミュレータ内に 2004年から潜在していたものとされています。オープンソースのソフトウェアである QEMU の仮想フロッピーディスクコントローラのコードを採用した、すべての環境で影響があることになります。したがって脆弱性の確認、対応はベンダごとに行わなくてはならず一元化できるものではありません。このため影響範囲と行うべき対策の把握はより難しくなります。
繰り返しになりますが、現時点でこの脆弱性を利用した攻撃は確認されていません。しかし、脆弱性が公表されたことで、より簡易に脆弱性を利用できる攻撃コードが発見される可能性は今後常に存在します。また、最悪の影響である任意コードの実行以外にも、システムのクラッシュなどサービス妨害の影響が発生する可能性もあります。影響を受ける仮想環境プラットホームを使用中の管理者はベンダから公開される情報を確認し、速やかに影響を受けない最新バージョンへのアップデートを行うべきでしょう。ハイパーバイザ側の脆弱性であるため、エンドユーザが行うべき対応はほとんどありませんが、自身が利用する仮想サーバなどのサービスについて、この脆弱性の影響があるかをサービス提供者に確認すべきでしょう。