Um pesquisador de segurança divulgou mais um exploit de prova de conceito (PoC) de escape de sandbox que torna possível executar código inseguro em um host que executa o sandbox VM2.
O VM2 é um sandbox especializado em JavaScript usado por uma ampla gama de ferramentas de software para executar e testar código não confiável em um ambiente isolado, impedindo que o código acesse os recursos do sistema do host ou dados externos.
A biblioteca é comumente encontrada em ambientes de desenvolvimento integrado (IDEs), editores de código, ferramentas de segurança e vários frameworks de teste de penetração.
Ele conta com vários milhões de downloads por mês no repositório de pacotes NPM.
O VM2 teve várias divulgações críticas de escape de sandbox nas últimas duas semanas descobertas por diferentes pesquisadores de segurança, permitindo que os atacantes executem código malicioso fora das restrições do ambiente isolado.
A última vulnerabilidade é rastreada como
CVE-2023-30547
(pontuação CVSS: 9.8 - crítica) e é uma falha de sanitização de exceção permitindo que um atacante levante uma exceção de host não sanitizada dentro de "handleException ()".
Esta função destina-se a sanitizar exceções capturadas dentro do sandbox para evitar o vazamento de informações sobre o host.
No entanto, se um atacante configurar um manipulador de proxy "getPrototypeOf ()" personalizado que lança uma exceção de host não sanitizada, a função "handleException" falhará em sanitizá-la.
Isso ajuda o atacante a "acessar a Função do host", também conhecido como escapar das restrições do sandbox e executar código arbitrário no contexto do host, permitindo ataques potencialmente significativos.
A falha foi descoberta pelo analista de segurança SeungHyun Lee do Instituto Avançado de Ciência e Tecnologia da Coreia (KAIST), que descobriu que ela afeta todas as versões da biblioteca a partir da 3.9.16 e anteriores.
O pesquisador também publicou um exploit de prova de conceito (PoC) em seu repositório do GitHub para demonstrar a viabilidade do ataque, que cria um arquivo chamado "pwned" no host.
Todos os usuários, mantenedores de pacotes e desenvolvedores de software cujos projetos incorporam a biblioteca VM2 são recomendados a atualizar para a versão 3.9.17, que aborda a falha de segurança, o mais rápido possível.
Seongil Wi confirmou ao BleepingComputer que os dois bugs descobertos por Lee não estão relacionados ao que ele encontrou.
Infelizmente, as complexidades da cadeia de suprimentos que afetam a maioria dos projetos de software de código aberto podem atrasar a atualização do VM2 em todas as ferramentas impactadas.
Aliado à disponibilidade pública de um PoC, muitos usuários podem ficar expostos a riscos por um período prolongado.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...