-
09/04/2020
-
85
-
553 bài viết
An ninh mạng tháng 4/2023: Sandbox - Con dao 2 lưỡi?
Sandbox VM2 được xem là giải pháp an toàn cho việc thực thi mã JavaScript trong một môi trường cô lập. Tuy nhiên, chỉ hơn 10 ngày, sandbox VM2 xuất hiện 3 lỗ hổng nghiêm trọng khiến những ngày đầu hè tháng 4 nóng hơn bao giờ hết. Câu hỏi đặt ra là: Công nghệ này liệu có trở thành con dao 2 lưỡi trong tương lai?
Bạn có thể hình dung về sandbox hay còn gọi là chiếc “hộp cát thần kỳ” như thế này: Khi bạn sử dụng trình duyệt web, tất cả các trang bạn truy cập đều được chạy trong môi trường sandbox để tránh trình duyệt yêu cầu truy cập vào dữ liệu quan trọng trên máy tính nếu chưa được cho phép. Còn các nhà phát triển sử dụng nó để thử nghiệm các mã lập trình mới. Chuyên gia an ninh mạng thì dùng sandbox để kiểm tra các phần mềm nghi ngờ là độc hại. Có thể nói, sandbox là một môi trường đã được cách ly nhằm giảm thiểu nguy cơ cho ứng dụng, hệ thống...
Với tính năng hữu dụng như vậy, VM2 được xem là công cụ sandbox phổ biến nhất hiện nay với hơn 16 triệu lượt tải xuống hàng tháng qua kho lưu trữ gói NPM (trình tạo và quản lý các thư viện lập trình ngôn ngữ Javascript).
Hơn 10 ngày, 3 lỗ hổng, 1 mục tiêu
Nhưng một khi môi trường sandbox như VM2 không thể cách ly được những đoạn mã độc hại, hậu quả khi ấy sẽ thật khôn lường.
Chỉ hơn 10 ngày, 3 lỗ hổng nghiêm trọng với điểm CVSS từ 9,8 đến 10 liên tiếp được phát hiện trong sandbox này, bản vá được công bố hôm trước, hôm sau đã lại có lỗ hổng.
Ngày 6 tháng 4, lỗ hổng CVE-2023-29017 nhanh chóng thu hút sự chú ý của cộng đồng an ninh mạng với điểm CVSS “kịch khung” 10/10, tồn tại trong phương thức “clone()” của VM2.
1 tuần sau (14/04), tiếp tục xuất hiện lỗ hổng nghiêm trọng thứ hai CVE-2023-29199, tồn tại trong thư viện “lib/transformer.js” với điểm CVSS 9,8/10.
Cuối cùng là lỗ hổng CVE-2023-30547 với điểm CVSS 9,8/10 (17/04) tồn tại trong quá trình xử lý ngoại lệ (exception sanitization).
Cả 3 lỗ hổng đều cho phép tin tặc có thể qua mặt các biện pháp bảo vệ hay thoát khỏi sandbox, chiếm quyền kiểm soát toàn bộ ứng dụng web trên máy chủ mà sandbox VM2 đang chạy, từ đó thực thi mã độc và truy cập các thông tin quan trọng. Đặc biệt, mã khai thác (PoC) của các lỗ hổng được công bố chỉ sau vài ngày và không có biện pháp giảm thiểu. Các lập trình viên chỉ có cách là cập nhật bản vá mới nhất từ nhà sản xuất để tránh các rủi ro bị tấn công.
Điều này cho thấy, mọi công nghệ đều có hai mặt. Nếu quá tin tưởng thì một ngày nào đó sẽ nó trở thành “con dao hai lưỡi” khiến chúng ta trở tay không kịp. Vì vậy, trong cuộc chiến không có hồi kết này, cập nhật bản vá mới nhất và kết hợp sandbox với các giải pháp an ninh khác như firewall, AI và học máy là giải pháp hiệu quả để đối phó với nhiều rủi ro an ninh mạng.
Bạn có thể hình dung về sandbox hay còn gọi là chiếc “hộp cát thần kỳ” như thế này: Khi bạn sử dụng trình duyệt web, tất cả các trang bạn truy cập đều được chạy trong môi trường sandbox để tránh trình duyệt yêu cầu truy cập vào dữ liệu quan trọng trên máy tính nếu chưa được cho phép. Còn các nhà phát triển sử dụng nó để thử nghiệm các mã lập trình mới. Chuyên gia an ninh mạng thì dùng sandbox để kiểm tra các phần mềm nghi ngờ là độc hại. Có thể nói, sandbox là một môi trường đã được cách ly nhằm giảm thiểu nguy cơ cho ứng dụng, hệ thống...
Với tính năng hữu dụng như vậy, VM2 được xem là công cụ sandbox phổ biến nhất hiện nay với hơn 16 triệu lượt tải xuống hàng tháng qua kho lưu trữ gói NPM (trình tạo và quản lý các thư viện lập trình ngôn ngữ Javascript).
Hơn 10 ngày, 3 lỗ hổng, 1 mục tiêu
Nhưng một khi môi trường sandbox như VM2 không thể cách ly được những đoạn mã độc hại, hậu quả khi ấy sẽ thật khôn lường.
Chỉ hơn 10 ngày, 3 lỗ hổng nghiêm trọng với điểm CVSS từ 9,8 đến 10 liên tiếp được phát hiện trong sandbox này, bản vá được công bố hôm trước, hôm sau đã lại có lỗ hổng.
Ngày 6 tháng 4, lỗ hổng CVE-2023-29017 nhanh chóng thu hút sự chú ý của cộng đồng an ninh mạng với điểm CVSS “kịch khung” 10/10, tồn tại trong phương thức “clone()” của VM2.
1 tuần sau (14/04), tiếp tục xuất hiện lỗ hổng nghiêm trọng thứ hai CVE-2023-29199, tồn tại trong thư viện “lib/transformer.js” với điểm CVSS 9,8/10.
Cuối cùng là lỗ hổng CVE-2023-30547 với điểm CVSS 9,8/10 (17/04) tồn tại trong quá trình xử lý ngoại lệ (exception sanitization).
Cả 3 lỗ hổng đều cho phép tin tặc có thể qua mặt các biện pháp bảo vệ hay thoát khỏi sandbox, chiếm quyền kiểm soát toàn bộ ứng dụng web trên máy chủ mà sandbox VM2 đang chạy, từ đó thực thi mã độc và truy cập các thông tin quan trọng. Đặc biệt, mã khai thác (PoC) của các lỗ hổng được công bố chỉ sau vài ngày và không có biện pháp giảm thiểu. Các lập trình viên chỉ có cách là cập nhật bản vá mới nhất từ nhà sản xuất để tránh các rủi ro bị tấn công.
Điều này cho thấy, mọi công nghệ đều có hai mặt. Nếu quá tin tưởng thì một ngày nào đó sẽ nó trở thành “con dao hai lưỡi” khiến chúng ta trở tay không kịp. Vì vậy, trong cuộc chiến không có hồi kết này, cập nhật bản vá mới nhất và kết hợp sandbox với các giải pháp an ninh khác như firewall, AI và học máy là giải pháp hiệu quả để đối phó với nhiều rủi ro an ninh mạng.
WhiteHat
Chỉnh sửa lần cuối: