-
09/04/2020
-
93
-
613 bài viết
Lỗ hổng nghiêm trọng thứ hai xuất hiện trong thư viện VM2 chỉ trong 1 tuần, đã có PoC
Lỗ hổng nghiêm trọng có điểm CVSS 9,8/10 được gán mã định danh CVE-2023-29199, vừa được phát hiện trong thư viện phổ biến VM2. Đặc biệt, mã khai thác của lỗ hổng này đã được đưa lên GitHub.
VM2 là một công cụ sandbox của nền tảng Node.js cho phép chạy các plugin, script hoặc đoạn mã JavaScript không đáng tin cậy trong môi trường ảo hoá được cô lập (sandbox) với các mô-đun tích hợp trong danh sách cho phép (whitelist). Đây là một công cụ đặc biệt hữu ích cho nhà phát triển khi xây dựng các plugin hoặc trình mở rộng cho các ứng dụng web.Với hơn 16 triệu lượt tải xuống hàng tháng thông qua kho lưu trữ gói NPM và khá phổ biến trong nhiều ứng dụng, không khó hiểu khi nếu VM2 bị khai thác, nó sẽ gây ra hậu quả nghiêm trọng trong tương lai.
Lỗ hổng nằm trong thư viện “lib/transformer.js” xảy ra khi quá trình xử lý logic của thư viện gặp lỗi, từ đó có thể cho phép kẻ tấn công qua mặt được cơ chế bảo vệ của sandbox để thực thi mã tùy ý trên hệ thống máy chủ và có khả năng xâm nhập vào các ứng dụng an ninh dựa trên VM2 như công cụ phát triển tích hợp (IDEs), trình biên tập mã, các giải pháp Function-as-a-Service (FaaS), các framework kiểm thử, công cụ an ninh và các sản phẩm khác liên quan đến JavaScript.
Đáng lo ngại hơn, một nhà nghiên cứu đã phát hành mã khai thác (PoC) trên GitHub trong một kho lưu trữ bí mật. Động thái này có thể mở ra cơ hội cho những kẻ xấu dễ dàng lợi dụng lỗ hổng này với mục đích phá hoại.
CVE-2023-29199 ảnh hưởng đến các phiên bản trước VM2 3.9.15. Hiện lỗ hổng đã được vá trong phiên bản VM2 3.9.16. Tuy nhiên, việc xuất hiện PoC của lỗ hổng như một lời cảnh báo những quản trị viên và doanh nghiệp phải nhanh chóng bảo vệ hệ thống an ninh, cập nhật lên phiên bản mới nhất ngay lập tức vì không có giải pháp giảm thiểu nào khả thi ở thời điểm hiện tại.
Đây là lỗ hổng nghiêm trọng thứ hai của VM2 chỉ trong một tuần trở lại đây.
CVE-2023-29017 (công bố ngày 06/04/2023), điểm CVSS 10/10 cũng nằm trong sandbox của VM2, nếu bị khai thác có thể dẫn đến thực thi mã từ xa trên máy chủ và được vá trong phiên bản 3.9.15.
Điều này cho thấy các thư viện mã nguồn mở như VM2 đang là đích ngắm đến của tin tặc trong thời gian gần đây.
Chuyên gia của WhiteHat khuyến cáo, các lập trình viên ngoài việc cập nhật bản vá mới nhất của VM2, cần hạn chế sử dụng các hàm thực thi trong quá trình phát triển ứng dụng, trong trường hợp bắt buộc thì phải kiểm soát được tham số đầu vào để tránh gặp rủi ro.
Theo Security Online, WhiteHat