Sandbreak – Kullanılan vm2 JavaScript Sandbox'ta Bulunan Kritik Bir Uzaktan Kod Yürütme Hatası

JavaScript sandbox kütüphanesi vm2'de, Oxeye araştırma ekibindeki siber güvenlik analistleri yakın zamanda "Sandbreak" olarak adlandırılan ciddi bir RCE kusuru buldular.

NPM paket deposu aracılığıyla vm2 korumalı alan kitaplığı, en popüler JavaScript korumalı alanlarından biri olduğu için her ay toplam 16 milyon indirme gerçekleştirir.

CVE-2022-36067, vm2 güvenlik açığına atanan CVE Kimliğidir. Sonuç olarak, CVSS bu güvenlik açığına mümkün olan en yüksek puan olan 10,0 önem derecesini atamıştır.

Saldırgan, CVE-2022-36067 güvenlik açığından yararlanarak vm2 ortamını atlatabilir. Bu güvenlik açığından başarıyla yararlanıldıktan sonra, saldırgan korumalı alanda çalışan kurbanın sisteminde kabuk komutları çalıştırabilir.

Kusur Profili

• CVE KİMLIĞI: CVE-2022-36067
• Açıklama: vm2 korumalı alan kitaplığındaki uzaktan yürütme güvenlik açığı
• CVSS Puanı: 10
• Önem Derecesi: Kritik
• Durum: Yamalı

Teknik Analiz

28 Ağustos 2022 itibariyle, bu kritik güvenlik açığını gidermek üzere 3.9.11 sürümü yayımlanmıştır. Yerleşik modül izin verilenler listelendiğinde, vm2, sanal makine içinde güvenilmeyen kod çalıştırmak için en popüler Node kitaplıklarından biridir.

vm2 geliştiricilerinin, bu güvenlik açığının temel nedeni olan bir Node.js özelliğini güvenli olmayan bir şekilde uyguladıkları düşünülmektedir.

VM2'de oluşan bir hata, çağrı yığınını özelleştirmek için kullanılabilecek "CallSite" adlı bir nesne oluşturmak üzere özelleştirilebilir.

Bu nedenle, komutları yürütmek ve bu nesneleri oluşturarak sanal alanın dışındaki Node.js genel nesnelerine erişmek mümkündür.

Oxeye'ın araştırmacıları, kütüphanenin yazarları tarafından kullanılan ve geçmişte bunun olma olasılığını sınırlamanın bir aracı olarak hizmet eden azaltma mekanizmasını atlamanın bir yolunu buldular. Bunu başarmak için, "prepareStackTrace" yöntemi bu eylemi gerçekleştirmek için özelleştirilebilir.

Öneriler

VM2, Oxeye'ın 16 Ağustos 2022'de keşfinden birkaç gün sonra bu kritik sorun hakkında bilgilendirildi. Bu sorunu ele alan 3.9.11 sürümü, VM2 kitaplığının yazarları tarafından 28 Ağustos 2022'de yayımlanmıştır.

Sandbox'ı herhangi bir yama olmadan kullanan uygulamalar, CVE-2022-36067'nin istismar edilmesinin bir sonucu olarak endişe verici sonuçlarla karşılaşabilir.

Buna cevaben, siber güvenlik uzmanları, kullanıcıların kendilerini korumak için yazılımın 3.9.11 sürümünü derhal yüklemelerini şiddetle tavsiye etmişlerdir.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.