Yakın zamanda yapılan bir keşif, vm2 paketinin 3.9.16’dan önceki sürümlerini etkileyen ve saldırganların korumalı alanı atlamasına ve ana bilgisayar bağlamında rasgele kod çalıştırmasına olanak tanıyan bir vm2 Sandbox kaçış güvenlik açığını ortaya çıkardı.
Node.js, ölçeklenebilir ve verimli ağ uygulamaları oluşturmak için güçlü bir platformdur.
Node.js’deki en popüler paketlerden biri, güvenilir olmayan kodun beyaz listeye alınmış Node’un yerleşik modülleriyle çalıştırılmasına izin veren vm2’dir.
vm2 Sandbox kaçış güvenlik açığı açıklandı
vm2 Sandbox kaçış güvenlik açığı, istisna temizleme mantığındaki kaynak kod dönüştürücü ile ilgilidir ve bu, temizlenmemiş ana bilgisayar istisnalarını sızdırabilir.
Saldırganlar, korumalı alandan kaçmak ve ana bilgisayar bağlamında rasgele kod yürütmek için bu kusurdan yararlanabilir.
Sonuç olarak, geliştiricilerin bu güvenlik açığından yararlanılmasını önlemek için en kısa sürede vm2’nin en son sürümüne güncelleme yapması gerekir.
Ancak bu en son vm2 Sandbox kaçış güvenlik açığı, bir sistemin veya uygulamanın kullanılabilirliğini etkileyebilecek tek tür değildir.
Hizmet Reddi (DoS) saldırıları, sistemi kullanılamaz hale getirerek meşru kullanıcılar için kesinti süresine de neden olabilir. Diğer saldırıların aksine, DoS saldırıları güvenliği ihlal etmeyi amaçlamaz, bunun yerine web sitelerini veya hizmetleri erişilemez hale getirmeye odaklanır.
Sandbox escape güvenlik açığı, DDoS saldırılarına kapı açar
DoS saldırılarının bir türü, birden çok kaynaktan gelen büyük hacimli trafikle bir sistemi ezmeyi içeren Dağıtılmış Hizmet Reddi’dir (DDoS).
Bununla birlikte, açık kaynak kitaplıklarındaki güvenlik açıkları, sistemleri DoS saldırılarına karşı da savunmasız bırakabilir. Bu güvenlik açıkları, bir sistemin çökmesine veya yüksek CPU veya bellek tüketimine neden olarak düzgün çalışmasını zorlaştırabilir.
Örneğin, saldırganlar, sistemin çökmesine veya işlenmesinin aşırı zaman almasına neden olan hazırlanmış istekler oluşturmak için uygulama kodundaki veya açık kaynak kitaplıklarındaki kusurlardan yararlanabilir.
commons-file upload: commons-file upload ve npm ws paketleri, bu şekilde istismar edilebilecek DoS güvenlik açıklarına örnektir.
Kullanıcıların, vm2 Sandbox kaçış güvenlik açığından korunmak için vm2’yi 3.9.16 sürümüne veya daha yüksek bir sürüme yükseltmeleri istenir. Bu, ilgili risklerin üstesinden gelmeye ve tehdit aktörlerinin açık istismarını düzeltmeye yardımcı olacaktır.
Özetlemek gerekirse, geliştiricilerin kodlarındaki ve kullandıkları açık kaynak kitaplıklarındaki olası güvenlik açıklarının farkında olmaları gerekir.
Geliştiriciler, en son güvenlik yamalarıyla güncel kalarak ve uygulamalarını düzenli olarak test ederek DoS saldırıları ve diğer güvenlik açıklarının neden olduğu kesinti riskini azaltabilir.