Một lỗ hổng bảo mật hiện đã được vá trong mô-đun hộp cát JavaScript vm2 có thể bị kẻ thù từ xa lợi dụng để vượt ra khỏi các rào cản bảo mật và thực hiện các hoạt động tùy ý trên máy bên dưới.
“Kẻ đe dọa có thể vượt qua các biện pháp bảo vệ hộp cát để giành quyền thực thi mã từ xa trên máy chủ chạy hộp cát”, GitHub cho biết trong một lời khuyên được công bố vào ngày 28 tháng 9 năm 2022.
Sự cố, được theo dõi là CVE-2022-36067 và có tên mã là Sandbreak, mang mức đánh giá mức độ nghiêm trọng tối đa là 10 trên hệ thống chấm điểm lỗ hổng CVSS. Nó đã được giải quyết trong phiên bản 3.9.11 được phát hành vào ngày 28 tháng 8 năm 2022.
vm2 là một thư viện Node phổ biến được sử dụng để chạy mã không đáng tin cậy với các mô-đun tích hợp trong danh sách cho phép. Đây cũng là một trong những phần mềm được tải xuống rộng rãi nhất, chiếm gần 3,5 triệu lượt tải xuống mỗi tuần.
Theo công ty bảo mật ứng dụng Oxeye, công ty bảo mật ứng dụng Oxeye đã phát hiện ra lỗ hổng này bắt nguồn từ cơ chế lỗi trong Node.js thoát khỏi hộp cát.
Điều này có nghĩa là việc khai thác thành công CVE-2022-36067 có thể cho phép kẻ tấn công vượt qua môi trường hộp cát vm2 và chạy các lệnh shell trên hệ thống lưu trữ hộp cát.
Do tính chất nghiêm trọng của lỗ hổng bảo mật, người dùng nên cập nhật lên phiên bản mới nhất càng sớm càng tốt để giảm thiểu các mối đe dọa có thể xảy ra.
Oxeye cho biết: “Các hộp cát phục vụ các mục đích khác nhau trong các ứng dụng hiện đại, chẳng hạn như kiểm tra các tệp đính kèm trong máy chủ email, cung cấp một lớp bảo mật bổ sung trong trình duyệt web hoặc cô lập các ứng dụng đang hoạt động trong một số hệ điều hành nhất định”.
“Với bản chất của các trường hợp sử dụng cho hộp cát, rõ ràng là lỗ hổng vm2 có thể gây ra hậu quả nghiêm trọng cho các ứng dụng sử dụng vm2 mà không có bản vá.”