vm2 JavaScript sanal alan modülündeki şu anda yamalanmış bir güvenlik açığı, güvenlik engellerini aşmak ve temeldeki makinede rastgele işlemler gerçekleştirmek için uzak bir düşman tarafından kötüye kullanılabilir.
28 Eylül 2022’de yayınlanan bir danışma belgesinde GitHub, “Bir tehdit aktörü, korumalı alanı çalıştıran ana bilgisayarda uzaktan kod yürütme hakları elde etmek için sanal alan korumalarını atlayabilir.” Dedi.
CVE-2022-36067 olarak izlenen ve kod adı Sandbreak olan sorun, CVSS güvenlik açığı puanlama sisteminde maksimum önem derecesi 10’dur. 28 Ağustos 2022’de yayınlanan 3.9.11 sürümünde ele alınmıştır.
vm2, izin verilenler listesindeki yerleşik modüllerle güvenilmeyen kodu çalıştırmak için kullanılan popüler bir Düğüm kitaplığıdır. Aynı zamanda, haftada yaklaşık 3,5 milyon indirme ile en çok indirilen yazılımlardan biridir.
Kusuru keşfeden uygulama güvenlik firması Oxeye’ye göre eksiklik, Node.js’deki sandbox’tan kaçmak için hata mekanizmasından kaynaklanıyor.
Bu, CVE-2022-36067’den başarılı bir şekilde yararlanılmasının, bir saldırganın vm2 sanal alan ortamını atlamasına ve korumalı alanı barındıran sistemde kabuk komutları çalıştırmasına izin verebileceği anlamına gelir.
Güvenlik açığının kritik doğası ışığında, olası tehditleri azaltmak için kullanıcıların mümkün olan en kısa sürede en son sürüme güncelleme yapmaları önerilir.
Oxeye, “Korumalı alanlar, e-posta sunucularındaki ekli dosyaları incelemek, web tarayıcılarında ek bir güvenlik katmanı sağlamak veya belirli işletim sistemlerinde aktif olarak çalışan uygulamaları izole etmek gibi modern uygulamalarda farklı amaçlara hizmet ediyor.” Dedi.
“Korumalı alanlar için kullanım durumlarının doğası göz önüne alındığında, vm2 güvenlik açığının vm2’yi yama yapmadan kullanan uygulamalar için korkunç sonuçları olabileceği açıktır.”