JavaScript kodlarını güvenli bir izole ortamda çalıştırmak için kullanılan açık kaynaklı vm2 Node.js kütüphanesinde çok sayıda kritik güvenlik açığı tespit edildi.

Bu açıklar, saldırganların vm2’nin sağladığı sandbox ortamından çıkmasına ve sistemi barındıran ana sunucu üzerinde rastgele kod veya komut çalıştırmasına neden olabilir. Yani vm2 ile izole edilmesi beklenen zararlı ya da güvenilmeyen kodlar, bazı durumlarda bu korumayı aşarak sistemin kendisine erişebilir.

Açıklanan güvenlik açıklarının büyük bölümü CVSS 9.8 ve üzeri kritik seviyede değerlendiriliyor. Bazı açıklar ise en yüksek risk seviyesi olan CVSS 10.0 skoruna sahip. Bu durum, vm2 kullanan sistemler için ciddi bir güvenlik riski oluşturuyor.

Açıklar; lookupGetter, inspect, SuppressedError, Promise nesnelerinin species özelliği, prototype pollution ve NodeVM allowlist bypass gibi farklı teknikler üzerinden sandbox kaçışına imkân tanıyor.

vm2 bakım destek personeli Patrik Simek tarafından bu açıklar için farklı sürümlerde yamalar yayımlandı. Kullanıcıların en iyi koruma için vm2’yi 3.11.2 veya daha güncel bir sürüme yükseltmeleri öneriliyor.

Bu güvenlik açıkları, JavaScript tabanlı sandbox çözümlerinde güvenilmeyen kodları tamamen izole etmenin ne kadar zor olduğunu bir kez daha gösteriyor.

Öneri: vm2 kullanan geliştiriciler ve kurumlar, bağımlılıklarını kontrol etmeli, etkilenen sürümleri kullanıp kullanmadıklarını doğrulamalı ve mümkün olan en kısa sürede güncel sürüme geçmesidir.

Bu tip saldırılardan korunmak için almamız gereken tedbirlerin bazıları;

• Hızlı Yama Yönetimi ve Sürüm Kontrolü

• SCA (Yazılım Bileşen Analizi) Entegrasyonu

• Savunma Derinliği ve Çok Katmanlı İzolasyon

• En Az Ayrıcalık Prensibi (Least Privilege)

• Ağ ve Giden Trafik Kısıtlamaları

  
  

Detaylı bilgi için info@zerosecond.com.tr adresinden uzmanlarımıza başvurabilirsiniz.