Oxeye araştırma ekibindeki siber güvenlik analistleri, kısa süre önce JavaScript korumalı alan kitaplığı vm2’de “Sandbreak” adlı ciddi bir RCE hatası buldu.
NPM paket deposu aracılığıyla vm2 korumalı alan kitaplığı, en popüler JavaScript sanal alanlarından biri olduğu için her ay toplam 16 milyon indirme gerçekleştirir.
CVE-2022-36067, vm2 güvenlik açığına atanan CVE kimliğidir. Sonuç olarak, CVSS bu güvenlik açığına olası en yüksek puan olan 10,0 önem derecesini atamıştır.
Saldırgan, CVE-2022-36067 güvenlik açığından yararlanarak vm2 ortamını atlatabilir. Bu güvenlik açığından başarıyla yararlanıldıktan sonra, saldırgan, korumalı bir ortamda çalışan kurbanın sisteminde kabuk komutları çalıştırabilir.
Kusur Profili
- CVE Kimliği: CVE-2022-36067
- Açıklama: vm2 korumalı alan kitaplığında uzaktan yürütme güvenlik açığı
- CVSS Puanı: 10
- Önem: Kritik
- Durum: Yamalı
Teknik Analiz
28 Ağustos 2022 itibariyle, bu kritik güvenlik açığını gidermek için 3.9.11 sürümü yayınlandı. İzin verilen yerleşik modül ile vm2, sanal makine içinde güvenilmeyen kodu çalıştırmak için en popüler Düğüm kitaplıklarından biridir.
vm2 bakımcılarının, bu güvenlik açığının temel nedeni olan güvenli olmayan bir şekilde bir Node.js özelliği uyguladığına inanılıyor.
VM2’de oluşan bir hata, çağrı yığınını özelleştirmek için kullanılabilecek “CallSite” adlı bir nesne oluşturmak için özelleştirilebilir.
Bu nedenle, bu nesneleri oluşturarak komutları yürütmek ve sanal alanın dışında Node.js’nin global nesnelerine erişmek mümkündür.
Oxeye araştırmacıları, kütüphane yazarları tarafından kullanılan ve geçmişte bunun olma olasılığını sınırlamanın bir aracı olarak kullanılan azaltma mekanizmasını atlamanın bir yolunu buldular. Bunu başarmak için “prepareStackTrace” yöntemi bu eylemi gerçekleştirmek için özelleştirilebilir.
Öneri
VM2, Oxeye’ın 16 Ağustos 2022’de onu keşfetmesinden birkaç gün sonra bu kritik sorun hakkında bilgilendirildi. Bu sorunu ele alan bir 3.9.11 sürümü, VM2 kitaplığının yazarları tarafından 28 Ağustos 2022’de yayımlandı.
Sandbox’ı herhangi bir yama olmadan kullanan uygulamalar, CVE-2022-36067’nin istismar edilmesinin bir sonucu olarak endişe verici sonuçlarla karşılaşabilir.
Buna yanıt olarak, siber güvenlik uzmanları, kullanıcıların kendilerini korumak için yazılımın 3.9.11 sürümünü hemen yüklemelerini şiddetle tavsiye etti.
5 Dakikadan Kısa Sürede Daha Fazla Yoğun DDoS Saldırısını Engelleyin, Her Zaman Çok Katmanlı Korumayı Etkinleştirin.