Her ay 16 milyondan fazla indirme alan bir JavaScript korumalı alan paketi olan Vm2, güvenilmeyen kodun tek bir işlemde eşzamanlı yürütülmesini sağlar.
Oxeye’daki güvenlik araştırmacıları, Ağustos 2022’de, geniş kapsamlı etki potansiyeli nedeniyle tüm vm2 kullanıcılarını bilgilendirmesi gereken, CVSS puanı 10 olan vm2’de büyük bir güvenlik açığı olan CVE-2022-36067’yi buldu.
Oxeye araştırmacılarının SandBreak olarak adlandırdığı güvenlik açığının birincil suçlusu, vm2 bakımcılarının yazılım test çerçevesindeki arızaların çağrı yığınını değiştirmesine izin veren Node.js işlevidir.
Oxeye’dan kıdemli güvenlik araştırmacısı Gal Goldshtein’e göre, “vm2 yöneticilerine açıklanan önceki sorunları incelerken olağandışı bir teknik gözlemledik: hata raporlayıcı, korumalı alandan kaçmak için Node.js’deki hata mekanizmasından yararlandı.”
Node.js, belirli bir yöntemi yürütür ve bir hata oluştuğunda bağımsız değişken olarak bir dizi “CallSite” nesnesi iletir. Araştırmacılar, bazı CallSite nesnelerinin sanal alanın dışında üretilen öğeleri döndürebileceğini açıklığa kavuşturuyor.
Oxeye’a göre, döndürülen nesnelerden birinden sorumlu olan bir saldırgan “Node’un global nesnelerine erişebilir ve oradan rastgele sistem komutları yürütebilir”.
Error nesnesinin readyStackTrace işlevi çağrıldı ve riski azaltmak için vm2 uygulaması, çağrılan yöntemi ve çağrılan nesneleri, kullanıcıların onu değiştirmesini önleyecek şekilde sardı.
Bununla birlikte, bir saldırgan, tüm belirli yöntemleri kapsamadığı için, hazırlaStackTrace yönteminin kendi uygulamasını sunabilir ve korumalı alandan kaçabilir.
Oxeye’daki araştırmacılar, global Error nesnesi için benzersiz bir hazırlıkStackTrace işlevi içeren kendi uygulamalarını da değiştirebildiler. Çağrıldığında, korumalı alanın dışında bir CallSite nesnesi keşfederek ana bilgisayarın herhangi bir kodu çalıştırmasını sağlar.
28 Ağustos hakkında, SandBreak güvenlik açığını düzelten vm2 sürüm 3.9.11 yayınlandı, ancak şimdiye kadar kusurla ilgili teknik bilgiler verilmedi. Bu haftanın ilerleyen saatlerinde, Oxeye teknik bir blog girişi yayınlamayı planlıyor.
Oxeye, ortamlarındaki tüm vm2 korumalı alan örneklerinin AppSec mühendisleri, Ar-Ge yöneticileri ve güvenlik uzmanları tarafından yamalanmasını ister.