¿Os acordáis de Heartbleed? Porque Venom, un bug de la disquetera que ha sido publicado hoy deja en pañales las consecuencias que tuvo.

Venom es una vulnerabilidad de día cero, implicando que aún no tiene solución o parche; pero eso no significa que no se esté trabajando en ello.

Y es que Venom afecta a la inmensa mayoría de centros de datos que usan máquinas virtuales. Un atacante que se aprovechase de esta vulnerabilidad podría acceder a cualquier máquina de una red de servidores.

Los servidores de Internet en peligro por un bug de la disquetera

veneno

Lo “gracioso” es que la vulnerabilidad tiene que ver con un elemento que ya prácticamente nadie usa: la disquetera. Aunque haya caído en desuso, la mayoría de los sistemas sigue manteniendo el código necesario para acceder a ella por razones de compatibilidad.

Venom consiste en aprovechar un bug en el controlador de la disquetera para entrar en el sistema y obtener privilegios de root, los más altos posibles, no sólo de la máquina en cuestión sino de todas las que estén conectadas en la misma red.

virtualbox-home

Los sistemas de máquinas virtuales afectados están basados en QEMU, un emulador de código libre. VirtualBox, KVM y Xen, entre otros, tienen este bug al usar el mismo código; en cambio, los programas de VMware y Microsoft se han librado.

Pese a eso se calcula que millones de máquinas de todo el mundo se han visto afectadas. Los descubridores de Venom han avisado a los desarrolladores de los programas afectados.

Oracle, creadora de Virtualbox, ha declarado que conoce el problema y que “pronto” lanzará una actualización, mientras que otros como la Linux Foundation (que se encarga de Xen) aún no tienen detalles concretos sobre una actualización.