Obecnie załatana luka w module piaskownicy vm2 JavaScript może zostać nadużyta przez zdalnego adwersarza do przełamania barier bezpieczeństwa i wykonania dowolnych operacji na maszynie bazowej.
„Aktor zagrożenia może ominąć zabezpieczenia piaskownicy, aby uzyskać prawa do zdalnego wykonania kodu na hoście uruchamiającym piaskownicę” – powiedział GitHub w doradztwie opublikowanym 28 września 2022 roku.
Błąd, oznaczony jako CVE-2022-36067 i nazwany kodowo Sandbreak, ma maksymalną ocenę ważności 10 w systemie punktacji podatności CVSS. Został on usunięty w wersji 3.9.11 wydanej 28 sierpnia 2022 roku.
vm2 to popularna biblioteka Node, która służy do uruchamiania niezaufanego kodu z wbudowanymi modułami z listy dozwolonych. Jest to również jedno z najczęściej pobieranych oprogramowań, stanowiące prawie 3,5 miliona pobrań tygodniowo.
Usterka ma swoje źródło w mechanizmie błędu w Node.js służącym do ucieczki z piaskownicy, jak podaje firma Oxeye zajmująca się bezpieczeństwem aplikacji, która odkryła dziurę.
Oznacza to, że udane wykorzystanie CVE-2022-36067 może pozwolić atakującemu na obejście środowiska piaskownicy vm2 i uruchomienie komend powłoki na systemie hostującym piaskownicę.
W świetle krytycznej natury luki, użytkownikom zaleca się jak najszybszą aktualizację do najnowszej wersji w celu ograniczenia ewentualnych zagrożeń.
„Piaskownice służą różnym celom w nowoczesnych aplikacjach, takim jak badanie załączonych plików w serwerach poczty elektronicznej, zapewnienie dodatkowej warstwy bezpieczeństwa w przeglądarkach internetowych lub izolowanie aktywnie działających aplikacji w niektórych systemach operacyjnych” – powiedział Oxeye.
„Biorąc pod uwagę charakter przypadków użycia sandboxów, jest jasne, że luka vm2 może mieć tragiczne konsekwencje dla aplikacji, które używają vm2 bez łatania”.