Xen, 7 yıllık VM Escape Hypervisor açığını önceki gün itibariyle kapattı. Bu açık saldırganın guest Sanal Sunucu üzerinden kaçış (escape) yaparak, işletim sistemini kontrol edebilmesine imkan sağlıyor.
Açık o kadar kritik bir probleme sebep oluyor ki, güvenlik ağırlıklı bir işletim sistemi olan Qubes OS Project ekibi “şimdiye kadar gördükleri en kötü açık” olarak tanımlamalarına sebep olmuş.
Tüm Qubes OS Project’in VM’lerinin “paravirtualized VM’ler olduğu düşünülürse, sistemin tamamen kontrol edebilmesine imkan tanıyan bu açık, Qubes OS Project için tam bir kabus olarak adlandırılabilir.
Bu arada belirtmkte fayda var, “paravirtualized VM” Xen Project tarafından geliştirilmiş ve VM’lerin performansını ve diğer yetkinliklerini optimize eden bir sanallaştırma tekniği denilebilir.
“VM escape” olarak da belirtilen VM’lerden çıkış/kaçış yapılarak sistemin ele geçirilmesi tüm VM altyapısı için büyük bir tehlikeyi de beraberinde getiriyor. Çünkü tek bir VM’den kaçış, aynı makine üzerindeki tüm diğer VM’leri de etkileyebiliyor.
Xen’in açıkladığına göre Xen 3.4 ve daha yeni, x86 sistemler bu açıktan etkileniyor ve sadece 32- veya 64-bit “paravirtualized guest” sistemler bu açıktan etkileniyor.
Bu kadar önemli bir açığın 7 senedir sistemlerde olması ve bunun bu kadar kolay bir şekilde kötüye kullanılabilecek olması Qubes ekibinde ciddi soru işaretleri yaratmış ve hatta Xen platformunu bile sorgulatmış gibi görünüyor.
Üstelik benzer bir VM escape açığı daha geçtiğimiz Temmuz ayında Xen tarafından kapatılmıştı.
Son dönemde Xen’de düzenli olarak ortaya çıkan bug’lar da oldukça can sıkıcı ve güven sarsıcı olarak görülüyor. Xen gibi oturmuş ve olgunlaşmış bir sistemde bu açıkların bu kadar kritik seviyede ortaya çıkması pek çokları için kabul edilebilir bir durum değil.