vm2 JavaScript korumalı alan modülünün bakımcıları, güvenlik sınırlarını aşmak ve rastgele kabuk kodu yürütmek için kötüye kullanılabilecek kritik bir kusuru gidermek için bir yama gönderdi.
3.9.14 dahil ve öncesi tüm sürümleri etkileyen kusur, Güney Kore merkezli KAIST WSP Lab’den araştırmacılar tarafından 6 Nisan 2023’te bildirildi ve vm2’nin Cuma günü 3.9.15 sürümüyle bir düzeltme yayınlamasını istedi.
vm2 bir danışma belgesinde “Bir tehdit aktörü, korumalı alanı çalıştıran ana bilgisayarda uzaktan kod yürütme hakları elde etmek için korumalı alan korumalarını atlayabilir” dedi.
Güvenlik açığı tanımlanmış CVE-2023-29017 olarak atanmıştır ve CVSS puanlama sisteminde 9,8 olarak derecelendirilmiştir. Sorun, eşzamansız işlevlerde oluşan hataları düzgün bir şekilde işlememesinden kaynaklanmaktadır.
vm2, Node.js üzerinde yalıtılmış bir ortamda güvenilmeyen kodu çalıştırmak için kullanılan popüler bir kitaplıktır. Haftalık yaklaşık dört milyon indirmesi var.
Kimlik Çevresini Korumayı Öğrenin – Kanıtlanmış Stratejiler
Uzman liderliğindeki siber güvenlik web seminerimizle işletmenizin güvenliğini artırın: Kimlik Çevresi stratejilerini keşfedin!
Fırsatı Kaçırmayın – Koltuğunuzu Kaydedin!
KAIST güvenlik araştırmacısı Seongil Wi ayrıca, CVE-2023-29017 için korumalı alan korumalarını aşan ve ana bilgisayarda “flag” adlı boş bir dosyanın oluşturulmasına izin veren iki farklı kavram kanıtı (PoC) istismarı varyantı kullanıma sundu. .
Açıklama, vm2’nin temel makinede keyfi işlemler gerçekleştirmek için silah haline getirilmiş olabilecek başka bir kritik hatayı (CVE-2022-36067, CVSS puanı: 10) çözmesinden yaklaşık altı ay sonra gelir.