Araştırmacılar, NPM paket deposu aracılığıyla ayda 16 milyondan fazla indirilen bir JavaScript sanalbox kütüphanesi olan 'VM2' de kritik bir uzaktan kod yürütme kusurunu uyarıyorlar.
VM2 güvenlik açığı, CVE-2022-36067 olarak izlenir ve saldırganların sanal alan ortamından kaçmasına ve bir ana bilgisayar sistemindeki komutları çalıştırmasına izin verebileceği için CVSS sistemindeki maksimum puan olan 10.0 şiddet derecesi aldı.
Kum havuzları, işletim sisteminin geri kalanından duvarlı izole edilmiş bir ortam olmayı amaçlamaktadır. Bununla birlikte, geliştiriciler genellikle güvensiz kodu çalıştırmak veya test etmek için kum havuzlarını kullandıkça, bu kapalı ortamdan "kaçma" ve ana bilgisayardaki kod yürütme yeteneği büyük bir güvenlik sorunudur.
Oxeye'daki güvenlik araştırmacıları, Sandbox'ın dışında oluşturulan “Callite” nesnelerini oluşturmak ve bunları düğümün global nesnelerine erişmek ve komutları yürütmek için kullanan VM2'de meydana gelen bir hatanın çağrı yığınını özelleştirmenin akıllı bir yolunu buldular.
Kütüphanenin yazarları geçmişte bu olasılığı azaltmaya çalışırken, Oxeye'nin araştırmacıları "PreparestAcTrace" yönteminin özel bir uygulamasını kullanarak bu hafifletme mekanizmasını atlamanın bir yolunu buldular.
Araştırmacılar raporlarında, "Muhabirin POC'si yukarıdaki mantığı atladı, çünkü VM2," WeakMap "JavaScript yerleşik türü ile ilgili belirli yöntemleri sarmayı kaçırdı."
"Bu, saldırganın kendi" PreparesTackTrace "uygulamasını sağlamasına, ardından bir hatayı tetiklemesine ve kum havuzundan kaçmasına izin verdi.
Analistler, Global Hata nesnesini, “hazırlık hazırlama” işlevini uygulayan özel bir nesne ile geçersiz kılmanın da mümkün olduğunu buldular ve yine mevcut işlemde kum havuzunun dışında oluşturulan ve komutları çalıştıran “çağrılar” nesnelerine erişti.
Oxeye’nin araştırma ekibi bu kritik sorunu 16 Ağustos 2022'de keşfetti ve birkaç gün sonra VM2 ekibine bir soruşturma başlattıklarını doğruladı.
Sonunda, popüler kütüphanenin yazarları, 28 Ağustos 2022'de Sandbox Escape ve kod yürütme sorunlarını ele alan 3.9.11 sürümünü yayınladı.
Yazılım geliştiricilerinin en son VM2 sürümüne güncellemeleri ve projelerindeki eski sürümleri mümkün olan en kısa sürede değiştirmeleri istenir.
Son kullanıcılar için, VM2'ye dayanan sanallaştırma yazılım araçlarının mevcut güvenlik güncellemesini uygulamasının biraz zaman alabileceğini belirtmek önemlidir.
Log4Shell ile gördüğümüz gibi, yaygın olarak konuşlandırılmış bir açık kaynak kütüphanesinde kritik bir güvenlik sorunu, tedarik zincirindeki belirsizlik nedeniyle savunmasız olduklarını bilmeden bile etkilenen kullanıcılar bile uzun süreler boyunca devam edebilir.
Bir sanal alan çözümü kullanıyorsanız, VM2'ye dayanıp dayanmadığını ve en son sürümü kullanıp kullanmadığını kontrol edin.
Zimbra İşbirliği Süitinde Satılmamış RCE Bug'dan yararlanan bilgisayar korsanları
Moobot Botnet, Patched D-Link yönlendiriciniz için geliyor
Zyxel, kritik RCE güvenlik açığını düzeltmek için yeni NAS ürün yazılımı yayınladı
Atlassian Bitbucket Sunucusu Kritik RCE Güvenlik Açığı'na karşı savunmasız
GitLab, kritik RCE güvenlik açığı yama yapmayı 'şiddetle tavsiye ediyor'
Kaynak: Bleeping Computer