Ngày 08 tháng 4 năm 2023Ravie LakshmananLỗ hổng bảo mật / Phần mềm
Những người bảo trì mô-đun hộp cát javascript vm2 đã gửi một bản vá để giải quyết một lỗ hổng nghiêm trọng có thể bị lạm dụng để vượt ra khỏi ranh giới bảo mật và thực thi shellcode tùy ý.
Lỗ hổng ảnh hưởng đến tất cả các phiên bản, bao gồm và trước 3.9.14, đã được báo cáo bởi các nhà nghiên cứu từ Phòng thí nghiệm KAIST WSP có trụ sở tại Hàn Quốc vào ngày 6 tháng 4 năm 2023, khiến vm2 phải phát hành bản sửa lỗi với phiên bản 3.9.15 vào thứ Sáu.
“Tác nhân đe dọa có thể bỏ qua các biện pháp bảo vệ hộp cát để giành quyền thực thi mã từ xa trên máy chủ chạy hộp cát”, vm2 tiết lộ trong một lời khuyên.
Lỗ hổng đã được chỉ định CVE-2023-29017 được xác định và được xếp hạng 9,8 trên hệ thống tính điểm CVSS. Vấn đề bắt nguồn từ thực tế là nó không xử lý đúng lỗi xảy ra trong các chức năng không đồng bộ.
vm2 là một thư viện phổ biến được sử dụng để chạy mã không đáng tin cậy trong môi trường bị cô lập trên Node.js. Nó có gần bốn triệu lượt tải xuống hàng tuần và được sử dụng trong 721 gói.
Nhà nghiên cứu bảo mật Seongil Wi của KAIST cũng đã cung cấp hai biến thể khác nhau của khai thác bằng chứng khái niệm (PoC) cho CVE-2023-29017 để vượt qua các biện pháp bảo vệ hộp cát và cho phép tạo một tệp trống có tên “flag” trên máy chủ .
Tiết lộ được đưa ra gần sáu tháng sau khi vm2 giải quyết một lỗi nghiêm trọng khác (CVE-2022-36067, điểm CVSS: 10) có thể đã được vũ khí hóa để thực hiện các hoạt động tùy ý trên máy bên dưới.