นักวิจัยระบุว่า ช่องโหว่ด้านความปลอดภัยที่ปัจจุบันได้รับการแก้ไขไปแล้วใน vm2 JavaScript (sandbox module) ทำให้ผู้โจมตีสามารถ bypass การป้องกันจาก sandbox และสั่งรันโค้ดที่เป็นอันตรายบนเครื่องที่กำลังรัน sandbox ได้
ช่องโหว่มีหมายเลข CVE-2022-36067 ชื่อว่า Sandbreak โดยมีระดับความรุนแรงสูงสุดที่ 10 โดยปัจจุบันได้รับการแก้ไขไปแล้วในเวอร์ชัน 3.9.11 ที่เผยแพร่เมื่อวันที่ 28 สิงหาคม 2022 ทั้งนี้ VM2 เป็น Node library ที่ค่อนข้างได้รับความนิยม เพื่อใช้ในการเรียกใช้งาน untrusted code ด้วย allowlisted built-in modules นอกจากนี้ยังเป็นหนึ่งในซอฟต์แวร์ที่มีการดาวน์โหลดจำนวนมากที่สุดอีกด้วย โดยมีการดาวน์โหลดเกือบ 3.5 ล้านครั้งต่อสัปดาห์
บริษัทรักษาความปลอดภัยของแอปพลิเคชัน Oxeye ผู้ค้นพบช่องโหว่นี้ระบุว่า ช่องโหว่นี้เกิดจากกลไลของ Node.js ที่มีการนำมาใช้เพื่อ bypass ระบบ Sand box ซึ่งหมายความว่าหากสามารถโจมตีช่องโหว่ CVE-2022-36067 ได้สำเร็จ อาจทำให้ผู้โจมตี bypass vm2 sandbox และเรียกใช้คำสั่งตามที่ต้องการบนระบบที่โฮสต์ sandbox ได้
โดย Sand box system นั้นเป็นระบบที่ออกแบบมาเพื่อเพิ่มความปลอดภัยของระบบ อย่างเช่น ตรวจสอบไฟล์ที่แนบมาผ่าน Email, ตรวจสอบเว็บเบราว์เซอร์ และตรวจสอบการทำงานของ Application ที่ทำงานอยู่ในบางระบบ ซึ่งจะทำให้เป็นอันตรายอย่างมากถ้าผู้ใช้งาน VM2 ที่มี่ช่องโหว่ดังกล่าว และยังไม่ได้อัปเดตแพทช์เป็นปัจจุบัน
ที่มา : thehackernews
You must be logged in to post a comment.