Seorang peneliti keamanan telah merilis, satu lagi eksploit sandbox escape proof of concept (PoC) yang memungkinkan untuk mengeksekusi kode tidak aman pada host yang menjalankan VM2 sandbox.
VM2 adalah kotak pasir JavaScript khusus yang digunakan oleh berbagai alat perangkat lunak untuk menjalankan dan menguji kode yang tidak tepercaya di lingkungan yang terisolasi, mencegah kode mengakses sumber daya sistem host atau data eksternal.
Pustaka ini umumnya ditemukan di lingkungan pengembangan terintegrasi (IDE), editor kode, alat keamanan, dan berbagai kerangka kerja pengujian pena. Itu menghitung beberapa juta unduhan per bulan di repositori paket NPM.
VM2 telah menemukan beberapa pengungkapan pelarian kotak pasir kritis selama dua minggu terakhir yang ditemukan oleh peneliti keamanan yang berbeda, memungkinkan penyerang untuk menjalankan kode berbahaya di luar batasan lingkungan kotak pasir.
Cacat escape sandbox pertama dilacak sebagai CVE-2023-29017 ditemukan oleh Seongil Wi dua minggu lalu, dengan dua (CVE-2023-29199 dan CVE-2023-30547) ditemukan oleh SeungHyun Lee.
Peneliti dari Oxeye menemukan pelarian kotak pasir lainnya dilacak sebagai CVE-2022-36067 pada Oktober 2022.
Cacat pelarian kotak pasir
Kerentanan terbaru dilacak sebagai CVE-2023-30547 (Skor CVSS: 9,8 – kritis) dan merupakan cacat sanitasi pengecualian yang memungkinkan penyerang memunculkan pengecualian host yang tidak bersih di dalam “handleException().”
Fungsi ini dimaksudkan untuk membersihkan pengecualian yang tertangkap di dalam kotak pasir untuk mencegah bocornya informasi tentang host. Namun, jika penyerang menyiapkan penangan proxy “getPrototypeOf()” khusus yang melontarkan pengecualian host yang tidak bersih, fungsi “handleException” akan gagal membersihkannya.
Ini membantu penyerang “mengakses Fungsi host”, alias keluar dari batasan kotak pasir dan melakukan eksekusi kode arbitrer dalam konteks host, memungkinkan serangan yang berpotensi signifikan.
Cacat itu ditemukan oleh analis keamanan SeungHyun Lee dari Korea Advanced Institute of Science and Technology (KAIST), yang menemukan bahwa hal itu memengaruhi semua versi perpustakaan dari 3.9.16 dan sebelumnya.
Peneliti juga telah menerbitkan bukti konsep (PoC) mengeksploitasi di repositori GitHub miliknya untuk mendemonstrasikan kelayakan serangan, yang membuat file bernama “pwned” di host.
Semua pengguna, pengelola paket, dan pengembang perangkat lunak yang proyeknya menyertakan pustaka VM2 disarankan untuk meningkatkan ke versi 3.9.17, yang mengatasi kelemahan keamanan, sesegera mungkin.
Sayangnya, kerumitan rantai pasokan yang memengaruhi sebagian besar proyek perangkat lunak sumber terbuka mungkin menunda pemutakhiran VM2 di seluruh alat yang terpengaruh. Ditambah dengan ketersediaan publik dari PoC, banyak pengguna mungkin terkena risiko untuk waktu yang lama.
Tidak jelas apakah dua kelemahan sandbox melarikan diri adalah kerentanan yang sama sekali baru atau jika itu disebabkan oleh tambalan yang tidak lengkap untuk bug CVE-2023-29017 asli yang ditemukan oleh Wi.
BleepingComputer telah mengajukan pertanyaan kepada Wi dan Lee tentang bug ini dan akan memperbarui ceritanya jika kami menerima tanggapan.
