Các nhà nghiên cứu đã phát hiện 2 lỗ hổng nghiêm trọng trong sandbox VM2, nếu bị khai thác có thể cho phép tin tặc vượt qua các giải pháp an ninh, sửa đổi log console và thực thi mã tùy ý.
Các lỗ hổng cụ thể như sau:
Lỗ hổng CVE-2023-32314 (điểm CVSS là 9,8) là lỗ hổng thoát khỏi Sandbox ảnh hưởng đến các phiên bản VM2 từ 3.9.17 trở xuống. Lỗ hổng có thể cho phép tin tặc vượt qua các giải pháp an ninh và giành quyền thực thi mã từ xa trên máy chủ chạy sandbox.
Lỗ hổng CVE-2023-32313 (điểm CVSS là 5,3) cho phép tin tặc can thiệp vào phương thức inspect để đọc và sửa đổi tùy chọn cho hàm console.log trong Node.js. Từ đó gây ra các hoạt động độc hại như sửa đổi file log, tạo ra thông báo lỗi để che giấu hành vi của tin tặc.
Cả 2 lỗ hổng đã được vá trong phiên bản 3.9.18. Đối với lỗ hổng CVE-2023-32313, nếu người dùng chưa thể cập nhật ngay thì có thể áp dụng phương án tạm thời là làm cho phương thức inspect chỉ có thể đọc sau khi tạo một VM bằng cách sử dụng lệnh: `vm.readonly(inspect)`.
Sau khi VM2 được vá lỗi, PoC cho cả 2 lỗ hổng CVE-2023-32314 và CVE-2023-32313 đều đã được công bố trên GitHub.
Nguồn: Security Online