Etkilenen firmalar, vm2’nin üretim ortamlarında kullanılmasıyla potansiyel etkisi artan hata konusunda uyarıldı
Popüler bir JavaScript korumalı alan ortamı olan vm2’deki bir hata, kötü niyetli kişilerin sanal alan korumalarını atlamasına ve ana cihazda uzaktan kod yürütme (RCE) gerçekleştirmesine izin verebilir.
Haftada dört milyondan fazla indirmeye sahip olan Vm2, sunucudan ödün vermeden güvenilmeyen kodu çalıştırmak için Node.js sunucularında güvenli bir bağlam oluşturur.
Maksimum olası CVSS puanı 10 olan güvenlik açığının potansiyel etkisi, vm2’nin geliştirici ortamlarının yanı sıra üretimde de kullanılmasıyla daha da arttı.
‘İlginç bir teknik’
Güvenlik açığı, Oxeye Security araştırmacıları Gal Goldshtein ve Yuval Ostrovsky tarafından keşfedildi. Oxeye güvenlik ekibi, “Belirli bir yazılımın güvenliğini değerlendirirken genel yaklaşımımız, ilk önce aynı yazılımda keşfedilen önceki güvenlik gecikmelerini analiz etmektir” dedi. Günlük Swig.
ÖNERİLEN Yaygın güvenlik açıklarını geniş ölçekte yamalama: proje toplu çekme istekleri vaat ediyor
“Bu, mevcut saldırı yüzeyini daha iyi kavramamıza yardımcı oluyor ve ayrıca eksik düzeltmelerden kaynaklanan düşük asılı hatalara yol açabilir.
“vm2 bakımcılarına açıklanan önceki hataları incelerken ilginç bir teknik fark ettik: hata raporlayıcı, korumalı alandan kaçmak için Node.js’deki hata mekanizmasını kötüye kullandı.”
Korumalı alan ve ana bilgisayar arasındaki kanallar
vm2’de bulunan önceki birkaç hata gibi, yeni hata da sanal alanın ana makineyle iletişim kurmak için kullandığı kanallara dayanır. Bu durumda, hataya uygun olmayan özel durum işleme neden olmuştur.
Araştırmacılar, “Bulduğumuz hata, sanal alan içinde, dışarıdaki öğelerle işbirliği yapabilen öğeleri bulmak olan VM baypas dünyasında oldukça yaygın olan bir tekniğe dayanıyor” dedi.
“Bu bağlantı bulunduğunda, saldırgana barındırma işlemiyle etkileşim kurma fırsatı verir.”
Bu kanal, saldırganın Node.js sunucusunda sistem komutlarını çalıştıran işlevleri çağırma da dahil olmak üzere rastgele kod çalıştırmasını sağlar.
Ekip, yakında daha fazla ayrıntı içeren hatanın teknik bir incelemesini yayınlamayı hedefliyor. Açıklardan yararlanmayı önlemenin tek yolu, vm2’nin en yeni sürümüne yükseltmektir.
‘Güvenilmeyen kod çalıştırmak anlamına geliyordu’
Araştırmacılar, “Bu kütüphanenin üretim ortamlarında kullanılmasına şaşırmadık, çünkü esas olarak ayda 16 milyondan fazla indirmeye sahip olması nedeniyle” dedi. “Bu güvenlik açığını bulduğumuz birkaç şirketle sorumlu açıklama sürecindeyiz.”
Ayrı bir danışma belgesinde RedHat, vm2 kusurundan etkilenen hizmetlerinin bir listesini yayınladı.
Bu, vm2’nin yalnızca korumalı alan ortamlarının güvenliğini sağlamanın zorluklarını vurgulayan bir korumalı alan baypasını ilk kez yamalaması değildir.
“Korumalı alanlar genel olarak bir uygulama içinde güvenilmeyen kodu çalıştırmaya yöneliktir. Bu, otomatik olarak güvenli olduklarını varsaymamanız gerektiği anlamına gelir, ”dedi araştırmacılar.
“Sandbox kullanımı kaçınılmazsa, uygulamanın mantıksal, hassas kısmını sandbox kodunu çalıştıran mikro hizmetten ayırmanızı öneririz; böylece bir tehdit aktörü korumalı alandan başarılı bir şekilde çıkarsa, saldırı yüzeyi izole edilmiş mikro hizmetle sınırlıdır. ”
OKUMAYI UNUTMAYIN Rancher, hassas değerleri düz metinde sakladı, Kubernetes küme devralma riskini aldı